Uma nova técnica de ataque distribuído de negação de serviço (DDoS), explorando uma vulberabilidade de zero day no protocolo HTTP/2, está causando o terror e batendo os recordes de volumetria dos ataques DDoS:
O bug, rastreado como CVE-2023-44487, permite sobrecarregar os servidores web com uma nova técnica de ataque, aonde uma enxurrada de tráfego faz com que o site, alvo do Ataque, fique temporariamente indisponível para os usuários.
Esta vulnerabilidade HTTP/2 consiste no envio de um determinado número de solicitações HTTP usando HEADERS seguido por RST_STREAM e repetindo esse padrão para gerar um alto volume de tráfego nos servidores HTTP/2. Ao agrupar vários quadros HEADERS e RST_STREAM em uma única conexão, os invasores podem causar um aumento significativo de solicitações por segundo e causar alta utilização da CPU nos servidores, o que eventualmente pode causar esgotamento de recursos e a interrupção do servidor.
Esse diagrama, da Google, ilustra o funcionamento do ataque:
A Amazon, Google e Cloudflare disseram ter detectado os maiores ataques DDoS já registrados em todos os tempos, graças à essa vulnerabilidade recém-descoberta:
- A Google mitigou um ataque em Agosto que foi oito vezes maior que o recorde anterior. Envolveu 398 milhões de solicitações por segundo (RPS). Em junho de 2022, eles relataram a interrupção de um ataque que atingiu o pico de 46 milhões de solicitações por segundo. Isso equivalia a “receber todas as solicitações diárias à Wikipédia em apenas 10 segundos”;
- A Amazon disse que entre 28 e 29 de agosto de 2023, [eles testemunharam um ataque](https://aws.amazon.com/blogs/security/how-aws-protects-customers-from- ddos-events/ atingindo um pico de mais de 155 milhões de solicitações por segundo;
- A Cloudflare disse que viu um ataque atingir um pico de 201 milhões de solicitações por segundo.
Para saber mais:
- CVE-2023-44487
- New 'HTTP/2 Rapid Reset' zero-day attack breaks DDoS records
- New technique leads to largest DDoS attacks ever, Google and Amazon say
- Alerta da CISA: HTTP/2 Rapid Reset Vulnerability, CVE-2023-44487
- How it works: The novel HTTP/2 ‘Rapid Reset’ DDoS attack (Google)
- Microsoft Response to Distributed Denial of Service (DDoS) Attacks against HTTP/2 (Microsoft)
- HTTP/2 Rapid Reset: deconstructing the record-breaking attack (Cloudflare)
Nenhum comentário:
Postar um comentário