Google, AWS и Cloudflare выявили массовые атаки, использующие недавно обнаруженную уязвимость HTTP/2 Rapid Reset, достигшие рекордных масштабов. Уязвимость, отслеживаемая как CVE-2023-44487, предоставила злоумышленникам мощный инструмент для атак и была оценена Google как с уровнем серьезности CVSS 7,5.

Google сообщила о 398 миллионах запросов в секунду, превысивших рекорд DDoS-атаки 2022 года в 46 миллионов запросов в секунду. Cloudflare также столкнулась с атаками, включая ботнет из 20 000 машин, генерирующих около 201 миллиона запросов в секунду.

Уязвимость позволяет отправлять множество запросов и моментально их отменять, что перегружает сайты. Несмотря на впечатляющие масштабы атак, эксперты отмечают, что это всего лишь оптимизированный метод атаки с асимметричными запросами, который остается проблемой из-за клиент-серверной природы HTTP и Интернета.

Эскалация атак на основе HTTP/2 Rapid Reset поднимает вопросы о кибербезопасности и необходимости укрепления защиты наружных ресурсов.