Cloudflare a déclaré jeudi avoir atténué des milliers d’attaques par déni de service distribué (DDoS) HTTP hyper-volumétriques qui exploitaient une faille récemment révélée appelée HTTP/2 Rapid Reset, dont 89 dépassaient 100 millions de requêtes par seconde (RPS).
« La campagne a contribué à une augmentation globale de 65 % du trafic d’attaques HTTP DDoS au troisième trimestre par rapport au trimestre précédent », a déclaré la société d’infrastructure et de sécurité Web dans un rapport partagé avec The Hacker News. « De même, les attaques DDoS L3/4 ont également augmenté de 14 %. »
Le nombre total de demandes d’attaques HTTP DDoS au cours du trimestre a bondi à 8 900 milliards, contre 5 400 milliards au deuxième trimestre 2023 et 4 700 milliards au premier trimestre 2023. Le nombre de demandes d’attaque au quatrième trimestre 2022 s’élevait à 6 500 milliards.
HTTP/2 Rapid Reset (CVE-2023-44487) a été révélé plus tôt ce mois-ci à la suite d’une divulgation coordonnée à l’échelle de l’industrie qui s’est penchée sur des attaques DDoS orchestrées par un acteur inconnu en exploitant la faille pour cibler divers fournisseurs tels qu’Amazon Web Services (AWS). ), Cloudflare et Google Cloud.
Fastly, dans une déclaration personnelle mercredi, a déclaré avoir contré une attaque similaire qui a culminé avec un volume d’environ 250 millions de RPS et une durée d’environ trois minutes.
« Les botnets qui exploitent les plates-formes de cloud computing et exploitent HTTP/2 sont capables de générer jusqu’à 5 000 fois plus de force par nœud de botnet », a noté Cloudflare. « Cela leur a permis de lancer des attaques DDoS hyper-volumétriques avec un petit botnet comprenant à lui seul 5 à 20 000 nœuds. »
Certains des principaux secteurs ciblés par les attaques DDoS HTTP comprennent les jeux, l’informatique, les cryptomonnaies, les logiciels informatiques et les télécommunications, les États-Unis, la Chine, le Brésil, l’Allemagne et l’Indonésie représentant les plus grandes sources d’attaques DDoS de la couche application (L7).
D’un autre côté, les États-Unis, Singapour, la Chine, le Vietnam et le Canada sont devenus les principales cibles des attaques HTTP DDoS.
« Pour le deuxième trimestre consécutif, les attaques DDoS basées sur le DNS ont été les plus courantes », a indiqué la société. « Près de 47 % de toutes les attaques étaient basées sur le DNS. Cela représente une augmentation de 44 % par rapport au trimestre précédent. Les inondations SYN restent en deuxième position, suivies par les inondations RST, les inondations UDP et les attaques Mirai. »
Un autre changement notable est la diminution des attaques DDoS avec rançon, qui, selon Cloudflare, « est due au fait que les acteurs de la menace ont réalisé que les organisations ne les paieraient pas ».
Cette divulgation intervient dans un contexte de fluctuations du trafic Internet et d’une augmentation des attaques DDoS au lendemain de la guerre entre Israël et le Hamas, Cloudflare ayant repoussé plusieurs tentatives d’attaque visant des sites Web israéliens et palestiniens.
