Les développeurs et les administrateurs de serveurs Web sont invités à installer des correctifs pour corriger une vulnérabilité critique du jour zéro dans un protocole clé qui a conduit à une récente attaque par déni de service (DDoS) record.
Surnommé Rapid Reset, Elle exploite la fonctionnalité d’annulation de flux de HTTP/2 en envoyant une requête et en l’annulant immédiatement, encore et encore. En automatisant à grande échelle ce que Cloudflare appelle un modèle trivial de type « demande, annulation, demande, annulation », les cybercriminels sont en mesure de créer un déni de service et de mettre hors service tout serveur ou application exécutant l’implémentation standard de HTTP/2.
« Je ne veux pas être alarmiste », a déclaré Grant Bourzikas, responsable de la sécurité de Cloudflare, « mais je vais être direct : vous devez prendre cela au sérieux. Traitez cela comme un incident pleinement actif pour vous assurer que rien n’arrive à votre organisation. »
« Toute organisation dont le fonctionnement implique la disponibilité de services en ligne pourrait être impactée », a déclaré Jamie Scott, chef de produit fondateur chez Endor Labs et consultant bénévole pour le Center for Internet Security.
« Les logiciels-services, les sites de commerce électronique et les services d’informations en ligne critiques sont ceux qui pourraient connaître le plus grand impact. Pour de nombreuses organisations, la disponibilité des services se traduit directement par des revenus et le blocage de cette disponibilité porte un coup direct à leur chiffre d’affaires. À mesure que l’économie et les services d’aujourd’hui évoluent en ligne, les plus touchées seront les organisations ne disposant pas d’une protection efficace contre les attaques par déni de service.
Jamie Scott a exhorté les administrateurs à surveiller leurs solutions de mandataires Web et de serveur Web commerciales et open source pour détecter tout correctif disponible et à les mettre à jour dès que possible.
« Les fournisseurs et services de protection DDoS ont observé cette attaque et ont contribué à mettre en place des mesures d’atténuation avant de faire largement connaître cette nouvelle approche », a-t-il ajouté. « Cela devrait largement réduire l’impact dans tous les secteurs. Et c’est un exemple de programmes de partage de renseignements sur les menaces bien mis en œuvre. »
Cet avertissement intervient après que Cloudflare, Google et Amazon ont déclaré mardi qu’une vulnérabilité du protocole de performances HTTP/2 utilisé dans les serveurs était exploitée pour lancer d’énormes attaques par déni de service distribué. Dans un cas particulier, un réseau zombie composé de seulement 20 000 serveurs compromis a lancé une attaque massive. Les entreprises ont discrètement alerté les fournisseurs de serveurs pour leur laisser le temps de développer des correctifs et des mesures d’atténuation.
Cloudflare, un service d’atténuation des attaques par déni de service, l’a qualifié de nouveau vecteur d’attaque utilisé à une échelle sans précédent. Les développeurs d’applications ont déjà été informés de mettre à jour leurs logiciels.
Dans son alerte, Cloudflare a déclaré que la faiblesse du protocole HTTP/2 peut générer des attaques DDoS « énormes et hyper-volumétriques » pour paralyser un site Web cible.
Les attaquants utilisent cette tactique soit pour harceler la victime, soit pour la distraire d’une cyberattaque sur une autre partie de son réseau.
Cloudflare affirme avoir atténué un grand nombre de ces attaques au cours des derniers mois, y compris une attaque trois fois plus importante que toutes les attaques précédentes observées, qui dépassait 201 millions de requêtes par seconde. En l’absence de correctifs, la société a développé une nouvelle technologie spécialement conçue pour arrêter ce type particulier d’attaques DDoS.
Adaptation et traduction française par Renaud Larue-Langlois.
