El Auge del Ataque DDoS “HTTP/2 Rapid Reset” y sus Consecuencias

Desde agosto de este año, una nueva forma de ataque DDoS conocida como “HTTP/2 Rapid Reset” ha estado haciendo olas en el mundo de la ciberseguridad. Este ataque, que se ha considerado un ataque de día cero, ha superado todos los récords previos en términos de escala y amenaza. La noticia se ha dado a conocer gracias a informes coordinados de gigantes tecnológicos como AWS, Cloudflare y Google, quienes han estado trabajando en la mitigación de estos ataques sin precedentes.

Lo que hace que este ataque sea especialmente preocupante es su capacidad para alcanzar tasas de hasta 398 millones de solicitudes por segundo, según Google. Lo más sorprendente es que esta hazaña se logró utilizando una red de botnets relativamente pequeña compuesta por solo 20,000 máquinas. Imagina lo que podría ocurrir si botnets más grandes, con cientos de miles o incluso millones de dispositivos, comenzaran a utilizar el método “HTTP/2 Rapid Reset”.

Desde agosto de este año, los especialistas de Cloudflare han registrado más de mil ataques DDoS diferentes que emplean esta novedosa técnica. Pero, ¿en qué consiste exactamente este ataque?

El método “HTTP/2 Rapid Reset” se basa en una vulnerabilidad de día cero identificada como CVE-2023-44487. Esta vulnerabilidad explota una falla en el protocolo HTTP/2 al utilizar la función de cancelación de subprocesos para enviar y cancelar solicitudes de manera continua. Este proceso sobrecarga al servidor de destino de manera instantánea, lo que lo hace extremadamente vulnerable.

Para comprender mejor este ataque, es importante destacar que el protocolo HTTP/2 tiene una medida de protección en forma de un parámetro que limita el número de subprocesos activos que pueden estar en uso simultáneamente. Esto se hace para prevenir ataques de denegación de servicio (DoS). Sin embargo, el ataque “HTTP/2 Rapid Reset” se aprovecha de la falta de coordinación entre el cliente y el servidor para cancelar los subprocesos, lo que genera una inundación de solicitudes con muy poco retraso. Esto dificulta la detección y mitigación del ataque.

Cloudflare ha señalado que los servidores proxy HTTP/2 y los balanceadores de carga son particularmente vulnerables a este tipo de ataques. Además, la compañía ha observado un aumento en los errores 502 (Bad Gateway) entre sus clientes debido a estos ataques continuos.

En respuesta a estos ataques, Cloudflare ha implementado un sistema llamado “IP Jail”, que bloquea las direcciones IP maliciosas durante un tiempo determinado, limitando su acceso a HTTP/2 en todos los dominios de Cloudflare. Amazon también ha tenido éxito en la lucha contra estos ataques digitales similares y ha destacado que sus servicios permanecieron disponibles durante los ataques.

Ante esta nueva amenaza, las tres empresas instan a sus clientes a utilizar todas las herramientas de protección contra ataques HTTP disponibles y a fortalecer su resistencia a los ataques DDoS de diversas maneras.

Es importante destacar que Cloudflare mantuvo silencio sobre esta vulnerabilidad durante más de un mes para brindar a los proveedores de seguridad el tiempo necesario para responder de manera efectiva. Hoy, finalmente, han decidido revelar esta amenaza al público.

En un mundo cada vez más dependiente de la tecnología, la seguridad cibernética es esencial. La evolución constante de las amenazas cibernéticas, como el ataque “HTTP/2 Rapid Reset,” exige una respuesta rápida y efectiva de la comunidad de seguridad en línea. Mantenernos alerta y tomar medidas proactivas para proteger nuestras redes y sistemas es fundamental para enfrentar esta y futuras amenazas.

#AtaqueDDoS ? #SeguridadCibernética ? #VulnerabilidadCVE2023-44487 ?️ #ProtecciónEnLínea ? #AmenazasDigitales ? #ResilienciaCibernética ?️ #Ciberataques ? #SeguridadEnInternet ? #MitigaciónDeRiesgos ? #EvoluciónTecnológica ?