En un anuncio coordinado Amazon Web Services, Cloudflare y Google, han revelado la existencia de una vulnerabilidad de Día Cero bautizada como HTTP/2 Rapid Reset que ya ha sido explotada para lanzar lo que se asegura que son los mayores ataques de Denegación de Servicio Distribuido, DDoS, en la historia de Internet.
HTTP/2 Rapid Reset es un fallo en el protocolo HTTP/2 que se puede aprovechar para llevar a cabo ataques DDoS. El 62 % del tráfico de Internet usa el protocolo HTTP/2, por lo que se trata de una vulnerabilidad grave identificada como CVE-2023-44487.
Según las empresas Amazon mitigó los ataques a una velocidad de 155 millones de solicitudes por segundo; Cloudflare a 201 millones de rps, tres veces mayor que el ataque récord de 71 millones de solicitudes por segundo (RPS) gestionada por la compañía en febrero; y Google soportó un récord de 398 millones de rps, más de siete veces el ataque más grande que el gigante de Internet había visto anteriormente. Esta vulnerabilidad estuvo bajo ataque activo en agosto.
El nuevo método de ataque abusa de una característica HTTP/2 llamada “cancelación de transmisión”, enviando repetidamente una solicitud y cancelándola inmediatamente. Explica la compañía a través de un post el ataque récord dirigido a sus clientes aprovechó una botnet de sólo 20.000 dispositivos comprometidos; “al automatizar este patrón trivial de ‘solicitar, cancelar, solicitar, cancelar’ a escala, los actores de amenazas pueden crear una denegación de servicio y desactivar cualquier servidor o aplicación que ejecute la implementación estándar de HTTP/2”, explicó Cloudflare.
Aseguran desde Cloudfare que “la amenaza de los ataques DDoS está evolucionando rápidamente y están lejos de ser una molestia de bajo nivel como solían considerarse”. Este ataque, el más grande en la historia de Internet, muestra “cuán crítico es prestar cada vez más atención y considerar a DDoS como una forma clave para que los actores de amenazas interrumpan los negocios y causen estragos”.
También Google y AWS han publicado post ofreciendo detalles técnicos sobre HTTP/2 Rapid Reset.
