{"id":991237,"date":"2023-10-10T15:55:00","date_gmt":"2023-10-10T15:55:00","guid":{"rendered":"https:\/\/teknomers.com\/es\/vulnerabilidad-de-dia-cero-de-reinicio-rapido-http-2-explotada-para-lanzar-ataques-ddos-record\/"},"modified":"2023-10-10T15:55:04","modified_gmt":"2023-10-10T15:55:04","slug":"vulnerabilidad-de-dia-cero-de-reinicio-rapido-http-2-explotada-para-lanzar-ataques-ddos-record","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/vulnerabilidad-de-dia-cero-de-reinicio-rapido-http-2-explotada-para-lanzar-ataques-ddos-record\/","title":{"rendered":"Vulnerabilidad de d\u00eda cero de reinicio r\u00e1pido HTTP\/2 explotada para lanzar ataques DDoS r\u00e9cord"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>10 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad\/vulnerabilidad del servidor<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Amazon Web Services (AWS), Cloudflare y Google dijeron el martes que tomaron medidas para mitigar los ataques r\u00e9cord de denegaci\u00f3n de servicio distribuido (DDoS) que se basaban en una t\u00e9cnica novedosa llamada HTTP\/2 Rapid Reset.<\/p>\n

El ataques de capa 7<\/a> Se detectaron a finales de agosto de 2023, dijeron las empresas en una divulgaci\u00f3n coordinada. La susceptibilidad acumulada a este ataque se est\u00e1 rastreando como CVE-2023-44487<\/strong><\/a>y tiene una puntuaci\u00f3n CVSS de 7,5 sobre un m\u00e1ximo de 10.<\/p>\n

Si bien los ataques dirigidos a la infraestructura de la nube de Google alcanzaron su punto m\u00e1ximo en 398 millones de solicitudes por segundo<\/a> (RPS), las dirigidas a AWS y Cloudflare superaron un volumen de 155 millones y 201 millones de solicitudes por segundo (RPS), respectivamente.<\/p>\n

HTTP\/2 Rapid Reset se refiere a una falla de d\u00eda cero en el protocolo HTTP\/2 que puede explotarse para llevar a cabo ataques DDoS. Una caracter\u00edstica importante de HTTP\/2 es la multiplexaci\u00f3n de solicitudes a trav\u00e9s de una \u00fanica conexi\u00f3n TCP, que se manifiesta en forma de flujos simult\u00e1neos.<\/p>\n

\"La<\/a><\/center><\/div>\n

Es m\u00e1s, un cliente que quiera cancelar una solicitud puede emitir un Cuadro RST_STREAM<\/a> para detener el intercambio de datos. El ataque Rapid Reset aprovecha este m\u00e9todo para enviar y cancelar solicitudes en r\u00e1pida sucesi\u00f3n, evitando as\u00ed el flujo m\u00e1ximo concurrente del servidor y sobrecargando el servidor sin alcanzar su umbral configurado.<\/p>\n

“Los ataques de reinicio r\u00e1pido HTTP\/2 consisten en m\u00faltiples conexiones HTTP\/2 con solicitudes y reinicios en r\u00e1pida sucesi\u00f3n”, Mark Ryland y Tom Scholl en AWS dicho<\/a>.<\/p>\n

“Por ejemplo, un serie de solicitudes<\/a> para m\u00faltiples transmisiones se transmitir\u00e1 seguido de un reinicio para cada una de esas solicitudes. El sistema objetivo analizar\u00e1 y actuar\u00e1 sobre cada solicitud, generando registros para una solicitud que luego un cliente restablece o cancela”.<\/p>\n

Esta capacidad de restablecer transmisiones inmediatamente permite que cada conexi\u00f3n tenga una cantidad indefinida de solicitudes en curso, lo que permite a un actor de amenazas emitir una avalancha de solicitudes HTTP\/2 que pueden abrumar la capacidad de un sitio web objetivo para responder a nuevas solicitudes entrantes, tom\u00e1ndolas de manera efectiva. abajo.<\/p>\n

\"Vulnerabilidad<\/a><\/div>\n

Dicho de otra manera, al iniciar cientos de miles de transmisiones HTTP\/2 y cancelarlas r\u00e1pidamente a escala a trav\u00e9s de una conexi\u00f3n establecida, los actores de amenazas pueden saturar los sitios web y dejarlos fuera de l\u00ednea. Otro aspecto crucial es que estos ataques se pueden llevar a cabo utilizando una botnet de tama\u00f1o modesto, unas 20.000 m\u00e1quinas, seg\u00fan lo observado por Cloudflare.<\/p>\n

“Este d\u00eda cero proporcion\u00f3 a los actores de amenazas una nueva herramienta cr\u00edtica<\/a> en su navaja suiza de vulnerabilidades para explotar y atacar a sus v\u00edctimas en una magnitud nunca antes vista”, Grant Bourzikas, director de seguridad de Cloudflare, dicho<\/a>.<\/p>\n

HTTP\/2 es utilizado por el 35,6% de todos los sitios web, seg\u00fan W3Techs<\/a>. El porcentaje de solicitudes que utilizan HTTP\/2 es del 77%, seg\u00fan datos compartidos por Almanaque web<\/a>.<\/p>\n

Google Cloud dijo que ha observado m\u00faltiples variantes de los ataques Rapid Reset que, si bien no son tan efectivos como la versi\u00f3n inicial, son m\u00e1s eficientes que los ataques DDoS HTTP\/2 est\u00e1ndar.<\/p>\n

\"La<\/a><\/center><\/div>\n

“La primera variante no cancela inmediatamente las transmisiones, sino que abre un lote de transmisiones a la vez, espera un tiempo, luego cancela esas transmisiones e inmediatamente abre otro gran lote de transmisiones nuevas”, Juho Snellman y Daniele Lamartino dicho<\/a>.<\/p>\n

“La segunda variante elimina por completo la cancelaci\u00f3n de transmisiones y, en cambio, intenta con optimismo abrir m\u00e1s transmisiones simult\u00e1neas de las que anuncia el servidor”.<\/p>\n

F5, en un asesoramiento independiente<\/a> Por s\u00ed solo, dijo que el ataque afecta el m\u00f3dulo NGINX HTTP\/2 y ha instado a sus clientes a actualizar su configuraci\u00f3n de NGINX para limitar la cantidad de transmisiones simult\u00e1neas a un valor predeterminado de 128 y persistir conexiones HTTP para hasta 1000 solicitudes.<\/p>\n

“A partir de hoy, los actores de amenazas ser\u00e1n en gran medida conscientes de la vulnerabilidad HTTP\/2; e inevitablemente se volver\u00e1 trivial explotar e iniciar la carrera entre defensores y ataques: primero en parchear versus primero en explotar”, a\u00f1adi\u00f3 Bourzikas. “Las organizaciones deben asumir que los sistemas ser\u00e1n probados y tomar medidas proactivas para garantizar la protecci\u00f3n”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n