Google, Amazon, Microsoft und Cloudflare gaben diese Woche bekannt, dass sie im August und September massive, rekordverdächtige Distributed-Denial-of-Service-Angriffe gegen ihre Cloud-Infrastruktur gestartet haben. DDoS-Angriffe sind eine klassische Internetbedrohung, bei der Angreifer versuchen, einen Dienst mit Junk-Traffic zu überlasten und ihn so zum Crawlen zu bringen, und Hacker entwickeln ständig neue Taktiken, um sie größer oder effektiver zu machen.

Der jüngste Angriff ist jedoch besonders bemerkenswert, da die Hacker eine Schwachstelle in einem grundlegenden Netzwerkprotokoll ausnutzten. Dies bedeutet, dass die Patching-Bemühungen zwar in vollem Gange sind, Patches jedoch praktisch jeden Netzwerkserver auf der Welt abdecken müssen, bevor diese Angriffe vollständig beseitigt werden können.

Die als „HTTP/2 Fast Reset“ bekannte Schwachstelle kann nur dazu genutzt werden, den Dienst zu verweigern, und Angreifer können den Server nicht aus der Ferne übernehmen oder Daten stehlen. Aber Angriffe müssen nicht ausgefallen sein, um große Probleme zu verursachen – Verfügbarkeit ist entscheidend für den Zugriff auf jeden digitalen Dienst, von kritischer Infrastruktur bis hin zu wichtigen Informationen.

Emil Kiner und Tim April von Google Cloud schrieben diese Woche: „DDoS-Angriffe können weitreichende Auswirkungen auf Opferorganisationen haben, einschließlich Geschäftsverlusten und der Nichtverfügbarkeit geschäftskritischer Anwendungen. Die Zeit zur Wiederherstellung nach einem DDoS-Angriff kann die Zeit, in der der Angriff endet, bei weitem überschreiten.“

Ein weiterer Aspekt der Situation ist die Ursache der Sicherheitslücke. RapidReset existiert nicht in einer bestimmten Software, sondern in der Spezifikation des HTTP/2-Netzwerkprotokolls, das zum Laden von Webseiten verwendet wird. HTTP/2, entwickelt von der Internet Engineering Task Force (IETF) und seit etwa acht Jahren im Einsatz, ist der schnellere und effizientere Nachfolger des klassischen Internetprotokolls HTTP. HTTP/2 läuft auf Mobilgeräten besser und benötigt weniger Bandbreite, weshalb es weit verbreitet ist. Die IETF entwickelt derzeit HTTP/3.

Lucas Pardue und Julien Desgats von Cloudflare schrieben diese Woche: Da dieser Angriff eine potenzielle Schwachstelle im HTTP/2-Protokoll ausnutzt, gehen wir davon aus, dass jeder Anbieter, der HTTP/2 implementiert, angreifbar sein wird. Während es offenbar eine Handvoll Implementierungen gibt, die nicht von RapidReset betroffen sind, betonten Pardue und Desgats, dass das Problem im Großen und Ganzen für „jeden modernen Webserver“ relevant sei.

Im Gegensatz zu einer von Microsoft gepatchten Windows-Schwachstelle oder einer von Apple gepatchten Safari-Schwachstelle ist es unwahrscheinlich, dass Fehler im Protokoll von einer zentralen Stelle behoben werden, da jede Website den Standard auf ihre eigene Weise implementiert. Wenn große Cloud-Dienste und DDoS-Abwehranbieter Korrekturen für ihre Dienste erstellen, leisten sie einen großen Beitrag zum Schutz aller, die ihre Infrastruktur nutzen. Aber Organisationen und Einzelpersonen, die ihre eigenen Webserver betreiben, müssen ihre eigenen Schutzmaßnahmen entwickeln.

Dan Lorenc, CEO von ChainGuard, einem Unternehmen für Software-Supply-Chain-Sicherheit, das sich seit langem mit Open-Source-Software beschäftigt, verwies auf diese Situation als Beispiel dafür, wie die Verfügbarkeit von Open Source und die weit verbreitete Wiederverwendung von Code (anstatt immer alles von Grund auf neu zu erstellen) von Vorteil seien, da viele Webserver möglicherweise die HTTP/2-Implementierung von anderswo kopiert haben, anstatt das Rad neu zu erfinden. Wenn diese Projekte beibehalten werden, entwickeln sie schnelle Reset-Fixes und stellen sie den Benutzern zur Verfügung.

Die vollständige Einführung dieser Patches wird jedoch noch Jahre dauern, und es wird immer noch einige Dienste geben, die ihr eigenes HTTP/2 von Grund auf implementieren, für die Patches nirgendwo anders verfügbar sind.

„Es ist wichtig zu beachten, dass große Technologieunternehmen, wenn sie von diesem Problem erfahren, es aktiv ausnutzen“, sagte Lorenc. „Es kann genutzt werden, um Dienste wie Betriebstechnik oder Industriesteuerungen lahmzulegen. Das ist beängstigend.“

Während die jüngste Welle von DDoS-Angriffen gegen Google, Cloudflare, Microsoft und Amazon aufgrund ihres schieren Ausmaßes Alarm auslöste, konnten die Unternehmen die Angriffe letztendlich abschwächen, ohne dauerhaften Schaden anzurichten. Durch einen Angriff enthüllten Hacker jedoch die Existenz einer Protokollschwachstelle und zeigten auf, wie diese ausgenutzt werden kann – eine Ursache-Wirkungs-Beziehung, die in der Sicherheitsgemeinschaft als „verbrannter Zero-Day“ bekannt ist. Während der Patch-Vorgang einige Zeit in Anspruch nehmen wird und einige Webserver lange Zeit anfällig bleiben, ist das Internet jetzt sicherer, als es gewesen wäre, wenn Angreifer ihre Karten nicht gezeigt hätten, indem sie die Schwachstelle ausgenutzt hätten.

Lorenc sagte: „Es ist ungewöhnlich, dass eine Schwachstelle wie diese in einem Standard auftaucht. Es ist eine neuartige Schwachstelle und eine wertvolle Entdeckung für denjenigen, der sie zuerst entdeckt hat. Er hätte sie behalten oder vielleicht sogar verkaufen und damit ein Vermögen machen können. Ich war schon immer neugierig, warum jemand beschlossen hat, diese Schwachstelle zu ‚verbrennen‘.“