发布编号：TACERT-ANA-2023101603101717

发布时间：2023-10-16 15:19:17

事故类型：ANA-漏洞预警

发现时间：2023-10-16 15:19:17

影响等级：中

 

[主旨说明:]

【漏洞预警】HTTP2 协定漏洞放大攻击，多家业者统计最大DDoS攻击流量皆创纪录

 

[内容说明:]

转发 CHTSECURITY-200-202310-00000002

Google、Cloudflare与 Amazon Web Services（AWS）本周二（10/10）分别公布了涉及 HTTP/2 协定的 CVE-2023-44487 零时差安全漏洞，原因是它们在今年的8月至10月间，全都面临了肇因于该漏洞的分布式服务阻断（DDoS）攻击，且其攻击规模对上述业者来说皆为史上最大，例如 Google 所缓解的攻击流量达到每秒3.98亿次的请求，是Google 上一个纪录的7.5倍。

HTTP/2 标准在2015年出炉，最新的则是2022年6月颁布的 HTTP/3。不过，根据 Cloudflare 截至今年4月的统计，目前最普及的协定仍是HTTP/2，市占率超过60% 存在于 HTTP/2 中的 CVE-2023-44487 漏洞可导致快速重置攻击，它利用 HTTP/2 中的多工串流 (Stream Multiplexing) 功能，发送大量的请求且立即取消，因而造成服务器端的大量工作负载，却只需要少量的攻击成本。

HiNet SOC 建议管理者尽速评估并修补漏洞更新，以降低受骇风险。

 

[影响平台:]

具 HTTP/2 协定传输的应用软件或服务

 

[建议措施:]

具 HTTP2 协定支援多工串流 (Stream Multiplexing) 的应用软件或服务会受影响，建议支援 HTTP2 的各家提供的说明进行修补 CVE-2023-44487漏洞，或可参考微软公布了针对该漏洞的应对措施。

 

[参考资料:]

1.iThome：HTTP/2协定漏洞带来史上最大DDoS攻击流量，Google、Cloudflare与AWS皆创纪录

2.Microsoft：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487

3.Google：https://cloud.google.com/blog/products/identity-security/google-cloud-mitigated-largest-ddos-attack-peaking-above-398-million-rps

4.Cloudflare：https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw