Amazon Web Services (AWS), Cloudflare y Google dijeron el martes que tomaron medidas para mitigar los ataques récord de denegación de servicio distribuido (DDoS) que se basaban en una técnica novedosa llamada HTTP/2 Rapid Reset.
El ataques de capa 7 Se detectaron a finales de agosto de 2023, dijeron las empresas en una divulgación coordinada. La susceptibilidad acumulada a este ataque se está rastreando como CVE-2023-44487y tiene una puntuación CVSS de 7,5 sobre un máximo de 10.
Si bien los ataques dirigidos a la infraestructura de la nube de Google alcanzaron su punto máximo en 398 millones de solicitudes por segundo (RPS), las dirigidas a AWS y Cloudflare superaron un volumen de 155 millones y 201 millones de solicitudes por segundo (RPS), respectivamente.
HTTP/2 Rapid Reset se refiere a una falla de día cero en el protocolo HTTP/2 que puede explotarse para llevar a cabo ataques DDoS. Una característica importante de HTTP/2 es la multiplexación de solicitudes a través de una única conexión TCP, que se manifiesta en forma de flujos simultáneos.
Es más, un cliente que quiera cancelar una solicitud puede emitir un Cuadro RST_STREAM para detener el intercambio de datos. El ataque Rapid Reset aprovecha este método para enviar y cancelar solicitudes en rápida sucesión, evitando así el flujo máximo concurrente del servidor y sobrecargando el servidor sin alcanzar su umbral configurado.
“Los ataques de reinicio rápido HTTP/2 consisten en múltiples conexiones HTTP/2 con solicitudes y reinicios en rápida sucesión”, Mark Ryland y Tom Scholl en AWS dicho.
“Por ejemplo, un serie de solicitudes para múltiples transmisiones se transmitirá seguido de un reinicio para cada una de esas solicitudes. El sistema objetivo analizará y actuará sobre cada solicitud, generando registros para una solicitud que luego un cliente restablece o cancela”.
Esta capacidad de restablecer transmisiones inmediatamente permite que cada conexión tenga una cantidad indefinida de solicitudes en curso, lo que permite a un actor de amenazas emitir una avalancha de solicitudes HTTP/2 que pueden abrumar la capacidad de un sitio web objetivo para responder a nuevas solicitudes entrantes, tomándolas de manera efectiva. abajo.
Dicho de otra manera, al iniciar cientos de miles de transmisiones HTTP/2 y cancelarlas rápidamente a escala a través de una conexión establecida, los actores de amenazas pueden saturar los sitios web y dejarlos fuera de línea. Otro aspecto crucial es que estos ataques se pueden llevar a cabo utilizando una botnet de tamaño modesto, unas 20.000 máquinas, según lo observado por Cloudflare.
“Este día cero proporcionó a los actores de amenazas una nueva herramienta crítica en su navaja suiza de vulnerabilidades para explotar y atacar a sus víctimas en una magnitud nunca antes vista”, Grant Bourzikas, director de seguridad de Cloudflare, dicho.
HTTP/2 es utilizado por el 35,6% de todos los sitios web, según W3Techs. El porcentaje de solicitudes que utilizan HTTP/2 es del 77%, según datos compartidos por Almanaque web.
Google Cloud dijo que ha observado múltiples variantes de los ataques Rapid Reset que, si bien no son tan efectivos como la versión inicial, son más eficientes que los ataques DDoS HTTP/2 estándar.
“La primera variante no cancela inmediatamente las transmisiones, sino que abre un lote de transmisiones a la vez, espera un tiempo, luego cancela esas transmisiones e inmediatamente abre otro gran lote de transmisiones nuevas”, Juho Snellman y Daniele Lamartino dicho.
“La segunda variante elimina por completo la cancelación de transmisiones y, en cambio, intenta con optimismo abrir más transmisiones simultáneas de las que anuncia el servidor”.
F5, en un asesoramiento independiente Por sí solo, dijo que el ataque afecta el módulo NGINX HTTP/2 y ha instado a sus clientes a actualizar su configuración de NGINX para limitar la cantidad de transmisiones simultáneas a un valor predeterminado de 128 y persistir conexiones HTTP para hasta 1000 solicitudes.
“A partir de hoy, los actores de amenazas serán en gran medida conscientes de la vulnerabilidad HTTP/2; e inevitablemente se volverá trivial explotar e iniciar la carrera entre defensores y ataques: primero en parchear versus primero en explotar”, añadió Bourzikas. “Las organizaciones deben asumir que los sistemas serán probados y tomar medidas proactivas para garantizar la protección”.