Webserver in Sekunden lahmgelegt: OpenAIs Codex soll bei DoS-Attacke geholfen haben

Sicherheitsforscher haben mit „HTTP/2 Bomb“ eine neue Denial-of-Service-Attacke auf Basis von HTTP/2 entdeckt, die Server in Sekunden lahmlegen kann. Sie entsteht durch die Kombination zweier seit Jahren bekannter Angriffstechniken. Nach Angaben der Forscher spielte dabei auch OpenAIs KI-Agent Codex eine wichtige Rolle.

Zusammen noch gefährlicher

Das kalifornische Sicherheitsunternehmen Calif berichtet über eine neue DoS-Angriffsmethode, die auf Standardkonfigurationen von HTTP/2 bei mehreren weit verbreiteten Webservern abzielt. Betroffen sein sollen unter anderem Nginx, Apache HTTP Server, Microsoft IIS, Envoy sowie Cloudflares Pingora. Darüber berichtet The Register.

Bei dem von den Forschern als „HTTP/2 Bomb“ bezeichneten Angriff werden zwei seit mehr als zehn Jahren bekannte Schwachstellen beziehungsweise Angriffstechniken miteinander kombiniert. Dazu zählt die sogenannte HPACK Compression Bomb (CVE-2016-6581), bei der die Header-Kompression von HTTP/2 ausgenutzt wird, um durch zahlreiche kleine Anfragen einen hohen Speicherverbrauch auf dem Server zu verursachen. Hinzu kommen Slowloris-ähnliche Verbindungsangriffe, darunter CVE-2016-8740 und CVE-2016-1546, bei denen eine große Zahl von Verbindungen über längere Zeit offen gehalten wird. Durch die Kombination beider Methoden soll der Speicherbedarf massiv steigen, sodass ein Server bereits nach wenigen Sekunden nicht mehr erreichbar ist.

Besonders kritisch sei laut den Forschern, dass bereits ein einzelner Angreifer mit einer gewöhnlichen 100-Mbit-Verbindung einen verwundbaren Server innerhalb kurzer Zeit lahmlegen könne. Bei Apache httpd und Envoy soll ein einzelner Client innerhalb von rund 20 Sekunden bis zu 32 Gigabyte Arbeitsspeicher belegen können. Nach Schätzungen der Experten könnten bis zu 880.000 Websites betroffen sein.

Erst die KI erkennt die „Wirksamkeit“

Eine eher unrühmliche Rolle kommt laut dem Bericht OpenAIs Coding-Assistent Codex zu, den die Forscher als wesentlichen Faktor bei der Entstehung des Angriffs betrachten. Demnach analysierte das System die beiden seit Langem bekannten Code-Basen und erkannte, dass sich die jeweiligen Schwachstellen gegenseitig ergänzen. Auf Basis dieser Erkenntnisse entwickelte der KI-Agent schließlich den kombinierten Angriff. „Diese Kombination ist offensichtlich, sobald man sie sieht, und doch hat, soweit wir wissen, kein Mensch sie gegen diese Server zusammengestellt“, konstatiert Entdecker Quang Luong.

Patches bereits verteilt

Nginx hat nach Angaben der Forscher bereits im April mit Version 1.29.8 entsprechende Korrekturen veröffentlicht. Auch Apache stellte mit mod_http2 v2.0.41 einen Fix bereit. Für Envoy wurden ebenfalls Patches veröffentlicht, deren Wirksamkeit laut Calif allerdings noch überprüft werden müsse. Microsoft untersucht nach eigenen Angaben mögliche Schutzmaßnahmen für IIS.

Cloudflare sieht keine Gefährdung

Cloudflare widerspricht hingegen der Einschätzung, dass Pingora von dem Angriff betroffen sei. Nach Angaben des Unternehmens schützen die vorhandenen DDoS-Abwehrmechanismen Kunden bereits vor der beschriebenen Angriffsmethode. Dennoch empfehlen die Sicherheitsforscher als vorläufige Schutzmaßnahmen für Microsoft IIS und Pingora, HTTP/2 gegebenenfalls zu deaktivieren oder die Zahl zulässiger HTTP-Header pro Anfrage zu begrenzen.