outubro 16, 2023

[Segurança] Novo ataque DDoS: HTTP/2 Rapid Reset

Uma nova técnica de ataque distribuído de negação de serviço (DDoS), explorando uma vulberabilidade de zero day no protocolo HTTP/2, está causando o terror e batendo os recordes de volumetria dos ataques DDoS:


HTTP/2 Rapid Reset



O bug, rastreado como CVE-2023-44487, permite sobrecarregar os servidores web com uma nova técnica de ataque, aonde uma enxurrada de tráfego faz com que o site, alvo do Ataque, fique temporariamente indisponível para os usuários.

Esta vulnerabilidade HTTP/2 consiste no envio de um determinado número de solicitações HTTP usando HEADERS seguido por RST_STREAM e repetindo esse padrão para gerar um alto volume de tráfego nos servidores HTTP/2. Ao agrupar vários quadros HEADERS e RST_STREAM em uma única conexão, os invasores podem causar um aumento significativo de solicitações por segundo e causar alta utilização da CPU nos servidores, o que eventualmente pode causar esgotamento de recursos e a interrupção do servidor.

Esse diagrama, da Google, ilustra o funcionamento do ataque:

A Amazon, Google e Cloudflare disseram ter detectado os maiores ataques DDoS já registrados em todos os tempos, graças à essa vulnerabilidade recém-descoberta:

  • A Google mitigou um ataque em Agosto que foi oito vezes maior que o recorde anterior. Envolveu 398 milhões de solicitações por segundo (RPS). Em junho de 2022, eles relataram a interrupção de um ataque que atingiu o pico de 46 milhões de solicitações por segundo. Isso equivalia a “receber todas as solicitações diárias à Wikipédia em apenas 10 segundos”;
  • A Amazon disse que entre 28 e 29 de agosto de 2023, [eles testemunharam um ataque](https://aws.amazon.com/blogs/security/how-aws-protects-customers-from- ddos-events/ atingindo um pico de mais de 155 milhões de solicitações por segundo;
  • A Cloudflare disse que viu um ataque atingir um pico de 201 milhões de solicitações por segundo.

Para saber mais:

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.