Amazon Web Services (AWS), Cloudflare y Google han tomado medidas para contrarrestar los ataques récord de denegación de servicio distribuido (DDoS). Este ataque se basa en una técnica novedosa llamada HTTP/2 Rapid Reset. Esta técnica explota una falla de día cero en el protocolo HTTP/2, que permite enviar y cancelar solicitudes en rápida sucesión, sobrecargando el servidor sin alcanzar su umbral configurado. La vulnerabilidad acumulada a este ataque se rastrea como CVE-2023-44487 y tiene una puntuación CVSS de 7,5 sobre un máximo de 10.

Los ataques dirigidos a la infraestructura de la nube de Google alcanzaron un máximo de 398 millones de solicitudes por segundo (RPS), mientras que los que afectaron a AWS y Cloudflare superaron un volumen de 155 millones y 201 millones de RPS, respectivamente. Los ataques de reinicio rápido HTTP/2 consisten en múltiples conexiones HTTP/2 con solicitudes y reinicios en rápida sucesión, lo que permite a un actor de amenazas emitir una avalancha de solicitudes HTTP/2 que pueden abrumar la capacidad de un sitio web objetivo para responder a nuevas solicitudes entrantes, tomándolas de manera efectiva. Es importante que las empresas tomen medidas para protegerse contra este tipo de ataques y estén al tanto de las últimas técnicas utilizadas por los ciberdelincuentes para evitar ser víctimas de estos ataques.

Acciones para mitigar los riesgos

Cloudflare ha señalado que los proxies HTTP/2 son especialmente susceptibles a los ataques de reinicio rápido. Esto se ha traducido en un incremento en los informes de error 502 de los clientes de Cloudflare. Gracias a un enfoque de mitigación diseñado para lidiar con ataques hipervolumétricos denominado ‘IP Jail’. La empresa ha logrado detener estos ataques y extender esta protección a toda su infraestructura; sin embargo, esta técnica puede afectar a algunos usuarios legítimos con una caída en su rendimiento, ya que sus IP pueden ser «encarceladas» y prohibidas para el uso de HTTP/2 durante cierto tiempo.

Siguiendo estas situaciones, las empresas recomiendan el uso de todas las herramientas de protección contra inundaciones HTTP disponibles para contrarrestar los ataques de reinicio rápido HTTP/2. Lamentablemente, no existe una solución general que impida completamente a los atacantes utilizar esta técnica DDoS, y los desarrolladores de software están implementando controles de velocidad para mitigarlos.

Ahora que los actores de amenazas son conscientes de la vulnerabilidad HTTP/2, es necesario que las organizaciones tomen medidas proactivas para garantizar la protección, ya que es probable que los sistemas sean probados y la tecnología sea explotada.

Fuente: https://www.bleepingcomputer.com/news/security/new-http-2-rapid-reset-zero-day-attack-breaks-ddos-records/