Incluso las botnets relativamente pequeñas ahora pueden causar estragos.
Una nueva tecnología de ataque DDoS llamada HTTP2 Rapid Reset se ha utilizado activamente como un ataque de día cero desde agosto de este año, rompiendo todos los récords anteriores en términos de escala.
La noticia de Rapid Reset llega hoy como resultado de los informes coordinados de AWS, Cloudflare y Google, que informan de la mitigación de los ataques que alcanzan los 155 millones de solicitudes por segundo según Amazon, 201 millones de solicitudes por segundo según Cloudflare y 398 millones de solicitudes por segundo según Google.
Cabe destacar que se utilizó una red de botnets relativamente pequeña de 20.<> máquinas para lograr tal potencia. Pero hay botnets que constan de cientos de miles e incluso millones de dispositivos. ¿Qué pasa si empiezan a usar el reinicio rápido en sus ataques?
Sea como fuere, los especialistas de Cloudflare informan que desde agosto de este año, ya han registrado más de mil ataques DDoS diferentes utilizando el método «HTTP/2 Rapid Reset».
Este nuevo método explota una vulnerabilidad de día cero rastreada como CVE-2023-44487. Abusa de la falla del protocolo HTTP/2 al usar la función de cancelación de flujo para enviar y cancelar solicitudes continuamente, lo que sobrecarga inmediatamente el servidor de destino.
HTTP/2 proporciona protección en forma de una configuración que limita el número de subprocesos que están activos al mismo tiempo para evitar ataques DoS, pero esto no siempre es efectivo.
Google explicó: «El protocolo no requiere que el cliente y el servidor coordinen la cancelación, el cliente puede hacerlo por sí mismo». De ahí un flujo tan masivo de solicitudes: casi no hay retrasos para la explotación maliciosa del servidor de destino.
Cloudflare informa de que los proxies HTTP/2 y los equilibradores de carga son especialmente vulnerables a este tipo de ataques. Según las observaciones de la empresa, estos ataques continuos han provocado un aumento de los errores 502 (Bad Gateway) entre los clientes de Cloudflare.
Para defenderse de los ataques, Cloudflare utilizó el sistema «IP Jail», que bloquea las direcciones IP maliciosas, restringiendo su acceso a HTTP/2 para todos los dominios de Cloudflare durante un cierto período de tiempo. Amazon también ha contrarrestado con éxito docenas de ataques digitales similares, enfatizando que los servicios de la compañía permanecieron disponibles durante los ataques.
Para contrarrestar los ataques de restablecimiento rápido de HTTP/2, las tres compañías recomiendan que sus clientes utilicen todas las herramientas de protección HTTP disponibles y fortalezcan su resistencia a DDoS de diversas maneras.
Cloudflare, en un comunicado separado, indicó que el silencio sobre esta vulnerabilidad duró más de un mes para dar a los proveedores de seguridad el mayor tiempo posible para responder.
«Hoy es el día para revelar información sobre esta amenaza», concluyó Cloudflare.