Cloud­flare heeft bekend­ge­maakt dat het heeft meege­holpen bij de onthul­ling van een nieuwe zero-day kwets­baar­heid, genaamd ‘HTTP/​2 Rapid Reset’. Deze wereld­wijde kwets­baar­heid geeft kwaad­wil­lenden de mogelijk­heid om aanvallen te genereren die groter zijn dan alles wat er in het verleden op het internet is gebeurd. Om de impact van deze nieuwe bedrei­ging voor het hele inter­ne­te­co­sys­teem te helpen beperken, heeft Cloud­flare voor haar klanten techno­logie ontwik­keld die speciaal gebouwd is om automa­tisch elke aanval te blokkeren die gebruik maakt van Rapid Reset. 

Cloud­flare heeft deze problemen succesvol verholpen en poten­tieel misbruik voor alle klanten een halt toege­roepen. Tegelij­ker­tijd is Cloud­flare een proces voor openbaar­ma­king gestart met twee andere grote infra­struc­tuur­aan­bie­ders, om deze kwets­baar­heid voor een groot percen­tage van het internet te verhelpen alvorens het bestaan ervan bekend te maken aan het grote publiek. 

“Het succesvol beperken van deze bedrei­ging voor elke organi­satie, klant en het internet in het algemeen is het hart van wat Cloud­flare doet. Wij zijn een van de enige bedrijven die in staat zijn bedrei­gingen van deze omvang te identi­fi­ceren en aan te pakken, met de snelheid die nodig is om de integri­teit van het internet te behouden”, zegt Matthew Prince, CEO van Cloud­flare. “Hoewel deze DDoS-aanval en kwets­baar­heid een klasse apart zijn, zullen er altijd andere zero-day’s, evolu­e­rende tactieken van kwaad­wil­lenden en nieuwe aanvallen en technieken zijn. Daarom is voort­du­rende voorbe­rei­ding en reactie hierop essen­tieel voor onze missie om een beter internet te helpen bouwen.”

HTTP/​2 snelle reset deconstrueren

Eind augustus 2023 ontdekte Cloud­flare een zero-day kwets­baar­heid, ontwik­keld door een onbekende kwaad­wil­lende. Deze kwets­baar­heid maakt misbruik van het standaard HTTP/​2‑protocol, een funda­men­teel onder­deel van hoe het internet en de meeste websites werken. HTTP/​2 is verant­woor­de­lijk voor de manier waarop browsers commu­ni­ceren met een website, waardoor ze ‘aanvragen’ om dingen zoals afbeel­dingen en tekst snel en in één keer te bekijken, ongeacht hoe complex de website is. Deze nieuwe aanval werkt door honderd­dui­zenden ‘verzoeken’ te doen en deze onmid­del­lijk te annuleren. Door dit patroon van ‘verzoek, annule­ring, verzoek, annule­ring´ op grote schaal te automa­ti­seren, overwel­digen cyber­aan­val­lers websites en zijn ze in staat om alles dat HTTP/​2 gebruikt offline te halen. 

“Rapid Reset” biedt kwaad­wil­lenden een krach­tige nieuwe manier om slacht­of­fers via het internet aan te vallen op een schaal die groter is dan alles waar het internet ooit mee te maken heeft gehad. HTTP/​2 is de basis voor ongeveer 60% van alle webap­pli­ca­ties en bepaalt de snelheid en kwali­teit van de manier waarop gebrui­kers websites zien en ermee interageren. 

Volgens de gegevens van Cloud­flare waren verschil­lende aanvallen waarbij gebruik werd gemaakt van Rapid Reset bijna drie keer zo groot als de grootste DDoS-aanval in de inter­net­ge­schie­denis. Op het hoogte­punt van deze DDoS-campagne registreerde en verwerkte Cloud­flare meer dan 201 miljoen verzoeken per seconde (Mrps), evenals de beper­king van duizenden extra aanvallen die volgden. 

Hoe Cloudflare de aanval samen met branchegenoten verijdelde

Kwaad­wil­lenden die beschikken over aanvals­me­thoden die records verbrij­zelen, hebben het extreem moeilijk om hun effec­ti­vi­teit te testen en te begrijpen, vanwege het gebrek aan infra­struc­tuur om de aanvallen op te vangen. Daarom testen ze vaak tegen provi­ders zoals Cloud­flare om beter te begrijpen hoe hun aanvallen zullen presteren. 

“Hoewel groot­scha­lige aanvallen zoals die waarbij gebruik wordt gemaakt van kwets­baar­heden zoals Rapid Reset complex en moeilijk te bestrijden kunnen zijn, bieden ze ons een ongekend inzicht in nieuwe technieken van cyber­aan­val­lers in een vroeg stadium van ontwik­ke­ling”, zegt Grant Bourzikas, CSO van Cloud­flare. “Hoewel er niet zoiets bestaat als ‘perfecte openbaar­ma­king’, met downtime en hobbels onderweg, vereist het verij­delen van aanvallen en het reageren op incidenten dat organi­sa­ties en securi­ty­teams leven volgens de ‘veron­der­stel inbreuk’-mentaliteit die het Cloud­flare-team koestert. Uitein­de­lijk stelt dit ons in staat een trotse partner te zijn die helpt het internet veilig te maken.”