Las entidades Cloudflare, Google y AWS han revelado que una nueva vulnerabilidad de día cero denominada ‘HTTP/2 Rapid Reset’ ha sido explotada por actores maliciosos para lanzar los mayores ataques distribuidos de denegación de servicio (DDoS) de la historia de Internet.
Los ataques de capa 7 se detectaron a finales de agosto de 2023, según una divulgación coordinada entre las empresas mencionadas. La susceptibilidad acumulada a este ataque está siendo rastreada como CVE-2023-44487, y lleva una puntuación CVSS de 7,5 sobre un máximo de 10.
Mientras que los ataques dirigidos a la infraestructura en la nube de Google alcanzaron un máximo de 398 millones de peticiones por segundo (RPS), los que afectaron a AWS y Cloudflare superaron un volumen de 155 millones y 201 millones de RPS, respectivamente.
Google afirma que pudo mitigar estos nuevos ataques añadiendo más capacidad en el borde de su red. Por otra parte, Cloudflare comenta que el tamaño del ataque que mitigó es tres veces mayor que su récord anterior, de febrero de 2023 (71 millones de rps), y es alarmante que esto se lograra utilizando una botnet relativamente pequeña compuesta por 20.000 máquinas.
Desde finales de agosto, Cloudflare ha detectado y mitigado más de mil ataques DDoS ‘HTTP/2 Rapid Reset’ que superaron los 10 millones de rps, de los cuales 184 batieron el récord anterior de 71 millones de rps.
Cloudflare confía en que a medida que más actores de amenazas empleen botnets más expansivas junto con este nuevo método de ataque, los ataques HTTP/2 Rapid Reset seguirán batiendo récords aún mayores.
«Hoy en día existen redes de bots formadas por cientos de miles o millones de máquinas», comenta Cloudflare. «Teniendo en cuenta que toda la web suele ver solo entre 1.000 y 3.000 millones de peticiones por segundo, no es inconcebible que usando este método se pueda concentrar toda una web de peticiones en un pequeño número de objetivos.»
HTTP/2 Rapid Reset: Detalles Técnicos
HTTP/2 Rapid Reset hace referencia a un fallo de día cero en el protocolo HTTP/2 que puede aprovecharse para llevar a cabo ataques DDoS. Una característica importante de HTTP/2 es la multiplexación de solicitudes a través de una única conexión TCP, que se manifiesta en forma de flujos concurrentes.
En pocas palabras, el método de ataque abusa de la función de cancelación de flujos de HTTP/2 para enviar y cancelar peticiones continuamente, saturando el servidor/aplicación objetivo e imponiendo un estado de DoS. HTTP/2 cuenta con una salvaguarda en forma de parámetro que limita el número de flujos activos simultáneamente para evitar ataques DoS; sin embargo, esto no siempre es eficaz.
Los desarrolladores del protocolo introdujeron una medida más eficaz llamada «cancelación de solicitud», que no interrumpe toda la conexión, pero de la que se puede abusar.
Los actores maliciosos llevan abusando de esta función desde finales de agosto para enviar una avalancha de solicitudes y reinicios HTTP/2 (tramas RST_Stream) a un servidor, pidiéndole que procese cada una de ellas y realice reinicios rápidos, desbordando su capacidad para responder a las nuevas solicitudes entrantes.
«El protocolo no requiere que el cliente y el servidor coordinen la cancelación de ninguna manera, el cliente puede hacerlo unilateralmente», explica Google en su post sobre el tema.
«El cliente también puede asumir que la cancelación tendrá efecto inmediatamente cuando el servidor reciba la trama RST_STREAM, antes de que se procese cualquier otro dato de esa conexión TCP».
Para tener una idea de la escala y el impacto de este tipo de amenaza, el ataque [pico] que afectó a Google y que tuvo una duración de dos minutos, generó más solicitudes que el número total de visitas a artículos que Wikipedia registró durante todo el mes de septiembre, según lo indicado por los investigadores de la entidad en un post publicado el 10 de octubre.
¿Qué deben hacer las organizaciones para mitigar las vulnerabilidades asociadas?
Cloudflare explica que los proxies o balanceadores de carga HTTP/2 son particularmente susceptibles a esas largas cadenas de peticiones de reinicio enviadas rápidamente. La red de la empresa estaba saturada en el punto entre el proxy TLS y equipos superiores, por lo que el daño ya estaba hecho antes de que las peticiones erróneas llegaran al punto de bloqueo.
En términos de impacto en el mundo real, estos ataques han causado un aumento de los informes de error 502 entre los clientes de Cloudflare.
Cloudflare dice que finalmente mitigó estos ataques utilizando un sistema diseñado para manejar ataques hipervolumétricos llamado «IP Jail», que la firma de Internet amplió para cubrir toda su infraestructura. Este sistema «encarcela» las IP infractoras y les impide utilizar HTTP/2 para cualquier dominio de Cloudflare durante un período de tiempo, al tiempo que afecta a los usuarios legítimos que comparten la IP encarcelada con una caída menor del rendimiento.
A continuación, se presenta una lista de recomendaciones prácticas para reforzar las defensas contra Rapid Reset y otras amenazas DDoS:
- Comprenda la conectividad externa de su red externa y de sus socios para remediar cualquier sistema orientado a Internet con las mitigaciones proporcionadas por los proveedores.
- Comprenda su protección de seguridad existente y las capacidades que tiene para proteger, detectar y responder a un ataque, y remedie inmediatamente cualquier problema que tenga en su red.
- Asegúrese de que su protección DDoS reside fuera de su centro de datos, porque si el tráfico llega a su centro de datos, será difícil mitigar un ataque DDoS.
- Asegúrese de que tiene protección DDoS para aplicaciones (Capa 7), y asegúrese de que tiene Web Application Firewalls. Además, como práctica recomendada, asegúrese de que dispone de protección DDoS completa para DNS, tráfico de red (Capa 3) y cortafuegos de API.
- Asegúrese de que el servidor Web y los parches del sistema operativo se despliegan en todos los servidores Web que dan a Internet. Además, asegúrese de que todas las automatizaciones, como las imágenes y las compilaciones de Terraform, están totalmente parcheadas, para que las versiones anteriores de los servidores Web no se desplieguen en producción sobre las imágenes seguras por accidente.
- Como último recurso, considere desactivar HTTP/2 y HTTP/3 (potencialmente también vulnerables) para mitigar la amenaza. Esto es sólo un último recurso, porque habrá problemas de rendimiento significativos si se baja a HTTP/1.1.
Por lo tanto, para mitigar los ataques HTTP/2 Rapid Reset es esencial un enfoque multifacético. Utilice herramientas integrales de protección contra ataques HTTP y mejore las defensas DDoS empleando diversas estrategias de mitigación. La aplicación de controles de velocidad es fundamental para gestionar los efectos de los ataques, ya que explotan directamente el protocolo y carecen de una solución única. Una medida preventiva fundamental para todas las defensas es la actualización y aplicación de parches en los sistemas. Los clientes deben actualizar sus sistemas con los parches disponibles para reforzarlos contra esta vulnerabilidad, asegurando una barrera sólida contra los ataques de explotación.
Referencia:
