8월 28일부터 29일까지 Amazon Web Services, Cloudflare 및 Google Cloud는 DDoS 플러드 공격을 독립적으로 관찰했습니다. DDoS 플러드 공격은 여러 차례의 트래픽이 발생했으며 각각 몇 분 동안만 지속되었습니다. 이 공격은 클라우드 및 네트워크 인프라 제공업체를 대상으로 합니다. 사건의 배후에는 알려지지 않은 가해자가 있지만 심각도가 높은 CVE-2023-44487로 추적되는 HTTP/2 프로토콜의 취약점을 악용한 것이 분명합니다. CVSS 점수는 다음과 같습니다. 10점 만점에 7.5점. 이 사건을 "HTTP/2 Rapid Reset" 제로데이 공격이라고 합니다.
Cloudflare에 따르면 HTTP/2는 인터넷과 대부분의 웹사이트가 작동하는 방식의 기본입니다. HTTP/2는 브라우저가 웹 사이트와 상호 작용하는 방식을 담당하여 브라우저가 이미지 및 텍스트와 같은 콘텐츠를 보기 위해 신속하게 "요청"하고 웹 사이트가 아무리 복잡하더라도 이 모든 작업을 한 번에 수행할 수 있도록 합니다.
Cloudflare는 HTTP/2 빠른 재설정 공격 기술에 수십만 개의 HTTP/2 요청을 한 번에 생성한 후 즉시 취소하는 기술이 포함되어 있다고 밝혔습니다. 신속한 재설정 공격에 대한 Cloudflare의 10월 10일 권고에서는 이 "요청, 취소, 요청, 취소" 패턴을 대규모로 자동화함으로써 위협 행위자가 웹사이트를 압도하고 HTTP/2를 사용하는 모든 사람이 웹사이트를 오프라인 상태로 만들 수 있다고 설명합니다.
HTTP/2 프로토콜은 대략 60% 웹 애플리케이션에서 사용됩니다. Cloudflare는 활동이 가장 활발한 8월 기간 동안 2억 1백만 건 이상의 초당 요청(rps)을 받은 것으로 파악됩니다. Cloudflare는 완화 조치를 취할 때 일부 조직에서 요청 수가 더 많아지고 있다고 말했습니다. 2022년 DDoS 공격 최고치는 7100만 rps였으며, 클라우드플레어가 받은 2억 100만 rps는 지난해의 3배에 달했다.
동시에 Google은 리소스에 대한 이전 공격의 7.5배인 3억 9,800만 rps의 피크를 관찰했으며, AWS는 Amazon CloudFront 서비스에 대해 1억 5,500만 rps 이상의 피크를 감지했습니다.
해당 게시물에서 Google은 규모를 고려하여 2분간의 공격으로 인해 Wikipedia가 9월 한 달 동안 보고한 총 기사 조회 수보다 더 많은 요청이 발생했다고 언급했습니다.
빠른 재설정은 강력한 무기일 뿐만 아니라 효율적인 무기이기도 합니다. AWS, Cloudflare 및 Google은 다른 클라우드, DDoS 보안 및 인프라 제공업체와 협력하여 주로 로드 밸런싱 및 기타 엣지 전략을 통해 신속한 재설정 공격의 영향을 최소화합니다. 그러나 이것이 네트워크가 보호된다는 의미는 아닙니다. 많은 조직은 여전히 공격 벡터에 취약하며 위협으로부터 안전을 유지하려면 HTTP/2를 사전에 패치해야 합니다.
Cloudflare는 이번 사건이 DDoS 공격 환경의 중요한 발전을 나타내며 지금까지 관찰된 규모 중 가장 큰 규모라고 밝혔습니다. 회사는 상대적으로 작은 봇넷이 그렇게 많은 양의 요청을 출력할 경우 HTTP/2를 지원하는 거의 모든 서버나 애플리케이션을 다운시킬 가능성이 있다고 믿고 있으며, 이는 보호되지 않은 CVE-2023-44487의 취약성을 강조합니다. 위협은 인터넷인가?
지금까지 HTTP/2 고속 재설정 공격은 사이버 공격자가 기대했던 만큼 큰 영향을 미치지 못했습니다. DDoS 공격은 여전히 사이버 공격자가 가장 선호하는 도구 중 하나이기 때문에 이 공격 기법에 세심한 주의가 필요합니다. 시간이 지나면서 더욱 강력해지고 복잡해질 것입니다.
보존 조언
기업과 개인 사용자에게 가장 효과적인 보호 방법은 업데이트와 패치입니다. 공급업체가 패치를 출시하면 즉시 적용해야 합니다. 클라우드 서비스 제공업체와 네트워크 인프라 공급업체는 HTTP/2 프로토콜의 취약점에 대한 패치를 출시하기 시작했습니다. 귀하의 비즈니스에서 이러한 서비스를 사용하는 경우 해당 패치를 적용했는지 확인하십시오.
또한 기업은 다음을 수행하는 것이 좋습니다.
네트워크와 시스템을 안전하게 유지하세요. 여기에는 공격 가능성을 최소화하기 위해 하드웨어와 소프트웨어를 정기적으로 업데이트하고 업그레이드하는 것이 포함됩니다.
DDoS 방어 도구를 사용하세요. 이러한 도구를 사용하면 네트워크 트래픽을 모니터링하고 비정상적인 활동이 감지되면 경고를 제공할 수 있습니다.
강력한 안전문화를 구축하세요. 스팸을 처리하고 피싱 공격을 식별하는 방법을 포함하여 사이버 공격을 인식하고 예방하도록 직원을 교육하는 것이 필수적입니다.
네트워크에서 다계층 보안 전략을 사용하십시오. 여기에는 방화벽, 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 및 기타 보안 조치의 사용이 포함됩니다.
개별 사용자의 경우 다음을 수행할 수 있습니다.
장비를 최신 상태로 유지하십시오. 공격을 받을 가능성을 줄이려면 컴퓨터, 스마트폰 및 기타 장치의 소프트웨어가 최신 상태인지 확인하세요.
바이러스 백신 소프트웨어를 설치합니다. 이를 통해 맬웨어를 탐지하고 차단할 수 있습니다.
출처를 알 수 없는 링크는 클릭하지 마세요. 이러한 링크로 인해 악성 코드가 다운로드될 수 있습니다.
강력한 비밀번호를 사용하고 정기적으로 변경하세요. 이는 예방에 도움이 될 수 있습니다.해커비밀번호를 추측하여 정보를 얻으세요.
미래에는 DDoS 공격이 계속 진화할 것으로 예상할 수 있지만 지속적인 교육과 예방 조치를 통해 이러한 위협으로부터 우리 자신을 보호할 수 있습니다.
원문, 저자: 최고보안책임자, 재인쇄할 경우 출처를 밝혀주세요: https://cncso.com/kr/h2-zero-day-vulnerability-cve-2023-44487.html
