Detalhes de uma novidade forma de DDOS que requer recursos relativamente mínimos para lançar um ataque de graduação sem precedentes, tornando-se um risco simples para os sites, à medida que as empresas de software de servidor correm para lançar patches para se protegerem contra ele.
Exploração de redefinição rápida HTTP/2
A vulnerabilidade aproveita os protocolos de rede HTTP/2 e HTTP/3 que permitem múltiplos fluxos de dados de e para um servidor e um navegador.
Isso significa que o navegador pode solicitar vários recursos de um servidor e obter todos eles de volta, em vez de ter que esperar que cada recurso baixe um de cada vez.
A exploração anunciada publicamente pela Cloudflare, Amazon Web Services (AWS) e Google é chamada HTTP/2 Rapid Reset.
A grande maioria dos servidores web modernos usa o protocolo de rede HTTP/2.
Porquê atualmente não há patch de software para emendar a lapso de segurança do HTTP/2, isso significa que praticamente todos os servidores estão vulneráveis.
Uma exploração novidade e que não tem uma vez que mitigá-la é chamada de exploração de dia zero.
A boa notícia é que as empresas de software de servidor estão trabalhando no desenvolvimento de patches para expelir a fraqueza do HTTP/2.
Porquê funciona a vulnerabilidade de reinicialização rápida HTTP/2
O protocolo de rede HTTP/2 possui uma feitio de servidor que permite um determinado número de solicitações a qualquer momento.
Solicitações que excedam esse número serão negadas.
Outro recurso do protocolo HTTP/2 permite que uma solicitação seja cancelada, o que remove esse fluxo de dados do limite de solicitação predefinido.
Isso é bom porque libera o servidor para rodopiar e processar outro fluxo de dados.
No entanto, o que os invasores descobriram é que é verosímil enviar milhões (sim, milhões) de solicitações e cancelamentos a um servidor e sobrecarregá-lo.
Quão ruim é a redefinição rápida do HTTP/2?
O A exploração do HTTP/2 Rapid Reset é sobremodo ruim porque os servidores atualmente não têm resguardo contra isso.
A Cloudflare observou que bloqueou um ataque DDOS 300% maior do que o maior ataque DDOS da história.
O maior deles bloqueado ultrapassou 201 milhões de solicitações por segundo (RPS).
O Google está relatando um ataque DDOS que ultrapassou 398 milhões de RPS.
Mas essa não é toda a extensão do quão ruim é essa exploração.
O que torna esta exploração ainda pior é que é necessária uma quantidade relativamente trivial de recursos para lançar um ataque.
Ataques DDOS deste tamanho normalmente requerem centenas de milhares a milhões de computadores infectados (chamados botnet) para lançar ataques nesta graduação.
A exploração HTTP/2 Rapid Reset requer somente 20.000 computadores infectados para lançar ataques três vezes maiores do que os maiores ataques DDOS já registrados.
Isso significa que a barreira é muito menor para que os hackers obtenham a capacidade de lançar ataques DDOS devastadores.
Porquê se proteger contra redefinição rápida de HTTP/2?
Os editores de software de servidor estão atualmente trabalhando para lançar patches para expelir o ponto fraco da exploração do HTTP/2. Os clientes da Cloudflare estão atualmente protegidos e não precisam se preocupar.
A Cloudflare informa que, na pior das hipóteses, se um servidor estiver sob ataque e indefeso, o gestor do servidor poderá fazer o downgrade do protocolo de rede HTTP para HTTP/1.1.
O downgrade do protocolo de rede impedirá que os hackers continuem o ataque, mas o desempenho do servidor poderá diminuir (o que pelo menos é melhor do que permanecer offline).
Leia os boletins de segurança
Postagem do blog Cloudflare:
Vulnerabilidade de dia zero HTTP/2 resulta em ataques DDoS que quebram recordes
Alerta de segurança do Google Cloud:
O Google mitigou o maior ataque DDoS até o momento, atingindo um pico supra de 398 milhões de rps
Alerta de segurança da AWS:
CVE-2023-44487 – Ataque de reinicialização rápida HTTP/2
Imagem em destaque da Shutterstock/Illusmile