Detalles de una nueva forma de DDOS que requiere recursos relativamente mínimos para lanzar un ataque a una escala sin precedentes, lo que la convierte en un peligro evidente para los sitios web, mientras las empresas de software de servidores se apresuran a lanzar parches para protegerse contra ella.
HTTP/2 fast reset exploit
La vulnerabilidad aprovecha la HTTP/2 y HTTP/3, que permiten múltiples flujos de datos hacia y desde un servidor y un navegador.
Esto significa que el navegador puede solicitar varios recursos a un servidor y recibirlos todos de vuelta, en lugar de tener que esperar a que se descargue cada recurso de uno en uno.
El exploit anunciado públicamente por Cloudflare, Amazon Web Services (AWS) y Google se llama HTTP/2 Rapid Reset.
La gran mayoría de los servidores web modernos utilizan el protocolo de red HTTP/2.
Como actualmente no existe ningún parche de software para cerrar el fallo de seguridad HTTP/2, esto significa que prácticamente todos los servidores son vulnerables.
Un exploit que es nuevo y no tiene medios de mitigación se denomina exploit de día cero.
La buena noticia es que los editores de software de servidor están trabajando en parches para remediar la debilidad del protocolo HTTP/2.
Cómo funciona la vulnerabilidad de restablecimiento rápido HTTP/2
El protocolo de red HTTP/2 dispone de un parámetro de servidor que autoriza un número definido de solicitudes al mismo tiempo.
Las solicitudes que superen este número serán rechazadas.
Otra característica del protocolo HTTP/2 es la posibilidad de cancelar una solicitud, lo que elimina este flujo de datos del límite de solicitudes predefinido.
Esto es bueno, porque libera al servidor para que se dé la vuelta y procese otro flujo de datos.
Sin embargo, los atacantes descubrieron que era posible enviar millones (sí, millones) de peticiones y cancelaciones a un servidor y saturarlo.
¿Hasta qué punto es grave el restablecimiento rápido de HTTP/2?
En El exploit HTTP/2 Rapid Reset es extraordinariamente malo porque los servidores no tienen actualmente ninguna defensa contra este exploit.
Cloudflare informó de que había bloqueado un ataque DDOS 300 % mayor que el mayor ataque DDOS de la historia.
El mayor ataque bloqueado superó los 201 millones de peticiones por segundo (RPS).
Google informa de un ataque DDOS que superó los 398 millones de RPS.
Pero eso no es todo lo grave que es esta hazaña.
Lo que hace que este exploit sea aún más grave es que requiere una cantidad relativamente insignificante de recursos para lanzar un ataque.
Los ataques DDOS a esta escala normalmente requieren cientos de miles o incluso millones de ordenadores infectados (conocidos como "botnet").
El exploit HTTP/2 Rapid Reset sólo necesita 20.000 ordenadores infectados para lanzar ataques tres veces mayores que los mayores ataques DDOS jamás registrados.
Esto significa que el listón está mucho más bajo para que los piratas informáticos lancen ataques DDOS devastadores.
¿Cómo puedo protegerme contra el restablecimiento rápido de HTTP/2?
Los proveedores de software de servidor están trabajando actualmente en la publicación de parches para solucionar la debilidad del exploit HTTP/2. Los clientes de Cloudflare están actualmente protegidos y no deben preocuparse.
Cloudflare dice que en el peor de los casos, si un servidor es atacado y queda indefenso, el administrador del servidor puede degradar el protocolo de red HTTP a HTTP/1.1.
Reducir el protocolo de red evitará que los hackers continúen su ataque, pero el rendimiento del servidor puede disminuir (lo que al menos es mejor que estar fuera de línea).
Leer los boletines de seguridad
Publicación en el blog de Cloudflare:
La vulnerabilidad HTTP/2 Zero-Day provoca ataques DDoS récord
Alerta de seguridad de Google Cloud:
Google ha mitigado el mayor ataque DDoS hasta la fecha, con un pico de más de 398 millones de rps.
Alerta de seguridad de AWS :
CVE-2023-44487 - Ataque de reinicio rápido HTTP/2
Imagen cortesía de Shutterstock/Illusmile