Google, Amazon, Microsoft và Cloudflare tuần này tiết lộ rằng họ đã phát động các cuộc tấn công từ chối dịch vụ phân tán quy mô lớn, phá kỷ lục nhằm vào cơ sở hạ tầng đám mây của họ vào tháng 8 và tháng 9. Các cuộc tấn công DDoS là một mối đe dọa Internet cổ điển, trong đó những kẻ tấn công cố gắng áp đảo một dịch vụ bằng lưu lượng rác, khiến nó phải thu thập dữ liệu và tin tặc luôn phát triển các chiến thuật mới để làm cho chúng lớn hơn hoặc hiệu quả hơn.
Tuy nhiên, cuộc tấn công mới nhất đặc biệt đáng chú ý vì tin tặc đã khai thác lỗ hổng trong giao thức mạng cơ bản. Điều này có nghĩa là trong khi các nỗ lực vá lỗi đang được tiến hành tốt, các bản vá về cơ bản sẽ cần phải bao phủ mọi máy chủ mạng trên thế giới trước khi những cuộc tấn công này có thể bị xóa bỏ hoàn toàn.
Lỗ hổng có tên là "HTTP/2 Fast Reset" và chỉ có thể được sử dụng để từ chối dịch vụ. Kẻ tấn công không thể chiếm quyền điều khiển máy chủ từ xa hoặc đánh cắp dữ liệu. Nhưng các cuộc tấn công không nhất thiết phải phức tạp mới có thể gây ra vấn đề lớn - tính khả dụng là rất quan trọng để truy cập bất kỳ dịch vụ kỹ thuật số nào, từ cơ sở hạ tầng quan trọng đến thông tin quan trọng.
Emil Kiner và Tim April của Google Cloud đã viết trong tuần này: "Các cuộc tấn công DDoS có thể có tác động rộng rãi đến các tổ chức nạn nhân, bao gồm cả tổn thất kinh doanh và không có sẵn các ứng dụng quan trọng. Thời gian phục hồi sau một cuộc tấn công DDoS có thể vượt xa thời gian cuộc tấn công kết thúc."
Một khía cạnh khác của tình huống này là nguồn gốc của lỗ hổng. RapidReset không tồn tại trong một phần mềm cụ thể mà tồn tại trong đặc tả của giao thức mạng HTTP/2 được sử dụng để tải các trang web. HTTP/2, được phát triển bởi Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF) và đã tồn tại được khoảng 8 năm, là giao thức kế thừa nhanh hơn và hiệu quả hơn cho giao thức Internet cổ điển HTTP. HTTP/2 chạy tốt hơn trên thiết bị di động và sử dụng ít băng thông hơn nên được áp dụng rộng rãi. IETF hiện đang phát triển HTTP/3.
Lucas Pardue và Julien Desgats của Cloudflare đã viết trong tuần này: Vì cuộc tấn công này lợi dụng điểm yếu tiềm ẩn trong giao thức HTTP/2 nên chúng tôi tin rằng bất kỳ nhà cung cấp nào triển khai HTTP/2 đều dễ bị tấn công. Mặc dù dường như có một số triển khai không bị ảnh hưởng bởi RapidReset, Pardue và Desgats nhấn mạnh rằng vấn đề này có liên quan rộng rãi đến "mọi máy chủ web hiện đại".
Không giống như lỗ hổng Windows được Microsoft vá hoặc lỗ hổng Safari được Apple vá, các lỗ hổng trong giao thức khó có thể được sửa bởi một thực thể trung tâm vì mỗi trang web đều triển khai tiêu chuẩn theo cách riêng của mình. Khi các dịch vụ đám mây lớn và các nhà cung cấp dịch vụ phòng chống DDoS tạo ra các bản sửa lỗi cho dịch vụ của họ, họ sẽ phải nỗ lực rất nhiều trong việc bảo vệ tất cả những người sử dụng cơ sở hạ tầng của họ. Nhưng các tổ chức, cá nhân vận hành máy chủ web của riêng mình cần phải xây dựng các biện pháp bảo vệ riêng.
Dan Lorenc, Giám đốc điều hành của công ty bảo mật chuỗi cung ứng phần mềm ChainGuard, công ty từ lâu đã tham gia vào phần mềm nguồn mở, đã chỉ ra tình huống này như một ví dụ về mức độ sẵn có của nguồn mở và tính phổ biến của việc tái sử dụng mã (thay vì luôn xây dựng mọi thứ từ đầu) là một lợi thế, bởi vì nhiều máy chủ web có thể đã sao chép triển khai HTTP/2 từ nơi khác, thay vì phát minh lại bánh xe. Nếu các dự án này được duy trì, họ sẽ phát triển các bản sửa lỗi thiết lập lại nhanh chóng và triển khai cho người dùng.
Tuy nhiên, vẫn phải mất nhiều năm nữa mới có thể áp dụng đầy đủ các bản vá này và vẫn sẽ có một số dịch vụ triển khai HTTP/2 của riêng chúng từ đầu, trong khi các bản vá sẽ không có sẵn ở bất kỳ nơi nào khác.
Lorenc cho biết: "Điều quan trọng cần lưu ý là khi các công ty công nghệ lớn phát hiện ra vấn đề này, nó đang được tích cực khai thác. Nó có thể được sử dụng để làm tê liệt các dịch vụ, chẳng hạn như công nghệ vận hành hoặc kiểm soát công nghiệp. Thật đáng sợ."
Trong khi một loạt các cuộc tấn công DDoS gần đây nhằm vào Google, Cloudflare, Microsoft và Amazon đã gióng lên hồi chuông cảnh báo do quy mô quá lớn của chúng, các công ty cuối cùng đã giảm thiểu các cuộc tấn công mà không gây ra thiệt hại lâu dài. Tuy nhiên, bằng cách thực hiện một cuộc tấn công, tin tặc đã tiết lộ sự tồn tại của lỗ hổng giao thức và cách khai thác nó - một mối quan hệ nhân quả được cộng đồng bảo mật gọi là "ngày số 0 bị đốt cháy". Mặc dù quá trình vá lỗi sẽ mất thời gian và một số máy chủ web sẽ vẫn dễ bị tấn công trong một thời gian dài, nhưng Internet hiện an toàn hơn so với trước đây nếu những kẻ tấn công không lộ thẻ bằng cách khai thác lỗ hổng.
Lorenc nói: "Thật bất thường khi một lỗ hổng như thế này xuất hiện trong một tiêu chuẩn. Đây là một lỗ hổng mới và là một khám phá có giá trị đối với bất kỳ ai phát hiện ra nó trước. Họ có thể đã giữ nó và thậm chí có thể bán nó và kiếm bộn tiền. Tôi luôn tò mò tại sao ai đó lại quyết định 'đốt' lỗ hổng này."