Una nueva técnica DDoS (denegación de servicio distribuida) denominada ‘HTTP/2 Rapid Reset’ ha sido explotada activamente como día cero desde agosto, rompiendo todos los récords anteriores en magnitud.
La noticia de la técnica de día cero llega hoy como un anuncio coordinado entre Amazon Web Services, Cloudflare y Google, quienes informan que mitigaron ataques que alcanzaron 155 millones de solicitudes por segundo (Amazon), 201 millones de rps (Cloudflare) y un récord de 398. millones de rupias (Google).
Google dice que pudieron mitigar estos nuevos ataques agregando más capacidad en el borde de su red.
Cloudflare comenta que el tamaño del ataque que mitigó es tres veces mayor que su récord anterior, de febrero de 2023 (71 millones de rps), y es alarmante que esto se haya logrado utilizando una botnet relativamente pequeña que comprende 20.000 máquinas.
Desde finales de agosto, Cloudflare ha detectado y mitigado más de mil ataques DDoS ‘HTTP/2 Rapid Reset’ que superaron los 10 millones de rps, y 184 de ellos superaron el récord anterior de 71 millones de rps.
Cloudflare confía en que a medida que más actores de amenazas empleen botnets más expansivas junto con este nuevo método de ataque, los ataques HTTP/2 Rapid Reset seguirán batiendo récords aún mayores.
«Hoy en día existen botnets que se componen de cientos de miles o millones de máquinas», comenta Cloudflare.
«Dado que toda la web normalmente recibe entre 1 y 3 mil millones de solicitudes por segundo, no es inconcebible que el uso de este método pueda centrar el valor de las solicitudes de toda una web en una pequeña cantidad de objetivos».
Detalles del reinicio rápido HTTP/2
El nuevo ataque explota una vulnerabilidad de día cero identificada como CVE-2023-44487, que abusa de una debilidad en el protocolo HTTP/2.
En pocas palabras, el método de ataque abusa de la función de cancelación de transmisión de HTTP/2 para enviar y cancelar solicitudes continuamente, abrumando al servidor/aplicación de destino e imponiendo un estado DoS.
HTTP/2 presenta una protección en forma de parámetro que limita la cantidad de transmisiones activas simultáneamente para evitar ataques DoS; sin embargo, esto no siempre es efectivo.
Los desarrolladores del protocolo introdujeron una medida más eficiente llamada «cancelación de solicitud», que no interrumpe toda la conexión pero de la que se puede abusar.
Simplifica los programas de AppSec al combinar cinco tipos de análisis de seguridad de aplicaciones en una solución.
Conocer..
Los actores maliciosos han estado abusando de esta característica desde finales de agosto para enviar una avalancha de solicitudes y restablecimientos HTTP/2 (marcos RST_Stream) en un servidor, pidiéndole que procese cada uno de ellos y realice restablecimientos rápidos, abrumando su capacidad para responder a nuevas solicitudes entrantes.
«El protocolo no exige que cliente y servidor coordinen la cancelación de ninguna manera, el cliente puede hacerlo unilateralmente», explica Google en su post sobre el tema.
«El cliente también puede asumir que la cancelación entrará en vigor inmediatamente cuando el servidor reciba la trama RST_STREAM, antes de que se procese cualquier otro dato de esa conexión TCP».
Los proveedores desarrollan mitigaciones
Cloudflare explica que los proxies HTTP/2 o balanceadores de carga son particularmente susceptibles a esas largas cadenas de solicitudes de reinicio enviadas rápidamente.
La red de la empresa se vio abrumada en el punto entre el proxy TLS y su contraparte ascendente, por lo que el daño se produjo antes de que las solicitudes incorrectas alcanzaran el punto de bloqueo.
En términos de impacto en el mundo real, estos ataques han provocado un aumento en los informes de error 502 entre los clientes de Cloudflare.
Cloudflare dice que finalmente mitigó estos ataques utilizando un sistema diseñado para manejar ataques hipervolumétricos llamado ‘IP Jail’, que la empresa de Internet amplió para cubrir toda su infraestructura.
Este sistema «encarcela» las IP infractoras y les prohíbe usar HTTP/2 para cualquier dominio de Cloudflare durante un período de tiempo, al tiempo que afecta a los usuarios legítimos que comparten la IP encarcelada con una caída menor del rendimiento.
Amazon dice que mitigó decenas de estos ataques sin proporcionar ningún detalle sobre su impacto, destacando que se mantuvo la disponibilidad de sus servicios al cliente.
Las tres empresas concluyen que el mejor enfoque para que los clientes contrarresten los ataques de reinicio rápido HTTP/2 es utilizar todas las herramientas de protección contra inundaciones HTTP disponibles y reforzar su resistencia a DDoS con mitigaciones multifacéticas.
Desafortunadamente, como esta táctica abusa del protocolo HTTP/2, no existe una solución general que impida por completo a los atacantes utilizar esta técnica DDoS.
En cambio, los desarrolladores de software que utilizan el protocolo en su software están implementando controles de velocidad para mitigar los ataques de reinicio rápido HTTP/2.
En una publicación separada, Cloudflare explica que tuvieron que mantener el secreto de día cero durante más de un mes para permitir que los proveedores de seguridad y las partes interesadas tuvieran tiempo de reaccionar ante la amenaza antes de que se diera a conocer a más actores de amenazas y comenzara el juego del «gato y el ratón».
«Hemos mantenido la información restringida hasta hoy para dar la oportunidad de reaccionar al mayor número posible de proveedores de seguridad», explicó Cloudflare.
«Sin embargo, en algún momento, lo responsable es revelar públicamente amenazas de día cero como ésta. Hoy es ese día».
Fuente: bleepingcomputer
