Amazon Web Services (AWS), Cloudflare y Google dijeron el martes que tomaron medidas para mitigar los ataques de denegación de servicio distribuido (DDoS) que batieron récords y que se basaron en una técnica novedosa llamada HTTP/2 Rapid Reset.
Los ataques de capa 7 se detectaron a fines de agosto de 2023, dijeron las compañías en una divulgación coordinada. La susceptibilidad acumulada a este ataque se rastrea como CVE-2023-44487 y tiene una puntuación CVSS de 7,5 sobre un máximo de 10.
Mientras que los ataques dirigidos a la infraestructura en la nube de Google alcanzaron un máximo de 398 millones de solicitudes por segundo (RPS), los que afectaron a AWS y Cloudflare superaron un volumen de 155 millones y 201 millones de RPS, respectivamente.
HTTP/2 Rapid Reset se refiere a una falla de día cero en el protocolo HTTP/2 que puede ser explotada para llevar a cabo ataques DDoS. Una característica importante de HTTP/2 es la multiplexación de solicitudes a través de una única conexión TCP, que se manifiesta en forma de flujos simultáneos.
Además, un cliente que quiera abortar una solicitud puede emitir una trama RST_STREAM para detener el intercambio de datos. El ataque de restablecimiento rápido aprovecha este método para enviar y cancelar solicitudes en rápida sucesión, eludiendo así el máximo de flujo simultáneo del servidor y sobrecargando el servidor sin alcanzar su umbral configurado.
“Los ataques de restablecimiento rápido de HTTP/2 consisten en múltiples conexiones HTTP/2 con solicitudes y reinicios en rápida sucesión”, dijeron Mark Ryland y Tom Scholl de AWS.
“Por ejemplo, se transmitirá una serie de solicitudes para múltiples flujos, seguidas de un reinicio para cada una de esas solicitudes. El sistema de destino analizará y actuará sobre cada solicitud, generando registros para una solicitud que luego es restablecida o cancelada por un cliente”.
Esta capacidad de restablecer los flujos inmediatamente permite que cada conexión tenga un número indefinido de solicitudes en curso, lo que permite a un actor de amenazas emitir un aluvión de solicitudes HTTP/2 que pueden abrumar la capacidad de un sitio web objetivo para responder a nuevas solicitudes entrantes, eliminándolo de manera efectiva.
Dicho de otra manera, al iniciar cientos de miles de flujos HTTP/2 y cancelarlos rápidamente a escala a través de una conexión establecida, los actores de amenazas pueden abrumar los sitios web y dejarlos fuera de línea. Otro aspecto crucial es que estos ataques se pueden llevar a cabo utilizando una botnet de tamaño modesto, algo así como 20.000 máquinas, según lo observado por Cloudflare.
“Este día cero proporcionó a los actores de amenazas una nueva herramienta crítica en su navaja suiza de vulnerabilidades para explotar y atacar a sus víctimas en una magnitud que nunca antes se había visto”, dijo Grant Bourzikas, director de seguridad de Cloudflare.
HTTP/2 es utilizado por el 35,6% de todos los sitios web, según W3Techs. El porcentaje de solicitudes que utilizan HTTP/2 es del 77%, según los datos compartidos por Web Almanac.
Google Cloud dijo que ha observado múltiples variantes de los ataques de restablecimiento rápido que, si bien no son tan efectivos como la versión inicial, son más eficientes que los ataques DDoS HTTP/2 estándar.
“La primera variante no cancela inmediatamente las transmisiones, sino que abre un lote de transmisiones a la vez, espera un tiempo y luego cancela esas transmisiones y luego abre inmediatamente otro gran lote de nuevas transmisiones”, dijeron Juho Snellman y Daniele Lamartino.
“La segunda variante elimina por completo la cancelación de transmisiones y, en cambio, intenta abrir con optimismo más transmisiones simultáneas de las que anunciaba el servidor”.
F5, en un aviso independiente propio, dijo que el ataque afecta al módulo NGINX HTTP/2 y ha instado a sus clientes a actualizar su configuración NGINX para limitar el número de flujos simultáneos a un valor predeterminado de 128 y persistir las conexiones HTTP para hasta 1000 solicitudes.
“Después de hoy, los actores de amenazas serán en gran medida conscientes de la vulnerabilidad HTTP/2; e inevitablemente se volverá trivial explotar y dar inicio a la carrera entre los defensores y los ataques: primero en parchear vs. primero en explotar”, dijo Bourzikas. “Las organizaciones deben asumir que los sistemas serán probados y tomar medidas proactivas para garantizar la protección”.
