Vulnerabilidade Zero-Day de Reset Rápido HTTP/2 Explorada para Lançar Ataques DDoS Recordes
11 de Outubro de 2023

Amazon Web Services (AWS), Cloudflare e Google disseram na terça-feira que tomaram medidas para mitigar ataques de negação de serviço distribuídos (DDoS) recordes que se apoiaram em uma técnica nova chamada HTTP/2 Rapid Reset.

Os ataques de camada 7 foram detectados no final de agosto de 2023, disseram as empresas em uma divulgação coordenada.

A susceptibilidade cumulativa a esse ataque está sendo rastreada como CVE-2023-44487 e recebe uma pontuação CVSS de 7,5 de um máximo de 10.

Enquanto os ataques direcionados à infraestrutura em nuvem do Google atingiram um pico de 398 milhões de solicitações por segundo (RPS), os que atingiram a AWS e a Cloudflare excederam um volume de 155 milhões e 201 milhões de RPS, respectivamente.

HTTP/2 Rapid Reset refere-se a uma falha de zero-day no protocolo HTTP/2 que pode ser explorada para realizar ataques DDoS.

Uma característica importante do HTTP/2 é a multiplexação de solicitações em uma única conexão TCP, que se manifesta na forma de fluxos simultâneos.

Além disso, um cliente que deseja abortar uma solicitação pode emitir um quadro RST_STREAM para interromper a troca de dados.

O ataque Rapid Reset aproveita este método para enviar e cancelar solicitações em rápida sucessão, contornando assim o número máximo de fluxos simultâneos do servidor e sobrecarregando o servidor sem atingir seu limite configurado.

"Os ataques de reset rápido do HTTP/2 consistem em várias conexões HTTP/2 com solicitações e resets em rápida sucessão", disseram Mark Ryland e Tom Scholl na AWS.

"Por exemplo, uma série de solicitações para vários fluxos será transmitida seguida por um reset para cada uma dessas solicitações.

O sistema alvo irá analisar e agir sobre cada solicitação, gerando logs para uma solicitação que é então resetada, ou cancelada, por um cliente."

Esta capacidade de resetar fluxos imediatamente permite que cada conexão tenha um número indefinido de solicitações em andamento, permitindo assim que um ator de ameça emita uma enxurrada de solicitações HTTP/2 que podem sobrecarregar a capacidade de um site alvo de responder a novas solicitações, efetivamente derrubando-o.

Em outras palavras, iniciando centenas de milhares de fluxos HTTP/2 e cancelando-os rapidamente em grande escala sobre uma conexão estabelecida, os atores de ameaça podem sobrecarregar os sites e tirá-los do ar.

Outro aspecto crucial é que tais ataques podem ser realizados usando uma botnet de tamanho modesto, algo na ordem de 20.000 máquinas, conforme observado pela Cloudflare.

"Este zero-day forneceu aos atores de ameaça uma nova ferramenta crítica em sua canivete suíço de vulnerabilidades para explorar e atacar suas vítimas em uma magnitude que nunca foi vista antes", disse Grant Bourzikas, diretor de segurança na Cloudflare.

HTTP/2 é utilizado por 35,6% de todos os sites, de acordo com a W3Techs.

A porcentagem de solicitações que usam HTTP/2 está em 77%, segundo dados compartilhados pelo Web Almanac.

Google Cloud afirmou que observou várias variantes dos ataques Rapid Reset que, embora não sejam tão eficientes quanto a versão inicial, são mais eficientes que os ataques padrão HTTP/2 DDoS.

"A primeira variante não cancela imediatamente os fluxos, mas abre um lote de fluxos de uma vez, espera um pouco e então cancela esses fluxos e imediatamente abre outro grande lote de novos fluxos", disseram Juho Snellman e Daniele Lamartino.

"A segunda variante dispensa o cancelamento de fluxos completamente e, em vez disso, tenta otimisticamente abrir mais fluxos simultâneos que o servidor anunciou."

F5, em um comunicado independente, disse que o ataque afeta o módulo HTTP/2 do NGINX e pediu a seus clientes que atualizem a configuração do NGINX para limitar o número de fluxos simultâneos para um padrão de 128 e manter as conexões HTTP por até 1000 solicitações.

"Depois de hoje, os atores de ameaça estarão amplamente cientes da vulnerabilidade HTTP/2; e inevitavelmente se tornará trivial explorar e dar início à corrida entre defensores e ataques - primeiro para corrigir vs.

primeiro para explorar", disse ainda Bourzikas.

"As organizações devem presumir que os sistemas serão testados e tomar medidas proativas para garantir a proteção."

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...