Vulnerabilidade DDOS de reinicialização rápida HTTP/2 afeta praticamente qualquer site

Advertising

Detalhes de uma novidade forma de DDOS que requer recursos relativamente mínimos para lançar um ataque de graduação sem precedentes, tornando-se um transe simples para os sites, à medida que as empresas de software de servidor correm para lançar patches para se protegerem contra ele.

Exploração de redefinição rápida HTTP/2

A vulnerabilidade aproveita os protocolos de rede HTTP/2 e HTTP/3 que permitem múltiplos fluxos de dados de e para um servidor e um navegador.

Advertising

Isso significa que o navegador pode solicitar vários recursos de um servidor e obter todos eles de volta, em vez de ter que esperar que cada recurso baixe um de cada vez.

A exploração anunciada publicamente pela Cloudflare, Amazon Web Services (AWS) e Google é chamada HTTP/2 Rapid Reset.

Advertising

A grande maioria dos servidores web modernos usa o protocolo de rede HTTP/2.

Uma vez que atualmente não há patch de software para emendar a lapso de segurança do HTTP/2, isso significa que praticamente todos os servidores estão vulneráveis.

Uma exploração novidade e que não tem uma vez que mitigá-la é chamada de exploração de dia zero.

A boa notícia é que as empresas de software de servidor estão trabalhando no desenvolvimento de patches para expelir a fraqueza do HTTP/2.

Uma vez que funciona a vulnerabilidade de reinicialização rápida HTTP/2

O protocolo de rede HTTP/2 possui uma forma de servidor que permite um determinado número de solicitações a qualquer momento.

Solicitações que excedam esse número serão negadas.

Outro recurso do protocolo HTTP/2 permite que uma solicitação seja cancelada, o que remove esse fluxo de dados do limite de solicitação predefinido.

Isso é bom porque libera o servidor para remoinhar e processar outro fluxo de dados.

No entanto, o que os invasores descobriram é que é provável enviar milhões (sim, milhões) de solicitações e cancelamentos a um servidor e sobrecarregá-lo.

Quão ruim é a redefinição rápida do HTTP/2?

O A exploração do HTTP/2 Rapid Reset é sobremodo ruim porque os servidores atualmente não têm resguardo contra isso.

A Cloudflare observou que bloqueou um ataque DDOS 300% maior do que o maior ataque DDOS da história.

O maior deles bloqueado ultrapassou 201 milhões de solicitações por segundo (RPS).

O Google está relatando um ataque DDOS que ultrapassou 398 milhões de RPS.

Mas essa não é toda a extensão do quão ruim é essa exploração.

O que torna esta exploração ainda pior é que é necessária uma quantidade relativamente trivial de recursos para lançar um ataque.

Ataques DDOS deste tamanho normalmente requerem centenas de milhares a milhões de computadores infectados (chamados botnet) para lançar ataques nesta graduação.

A exploração HTTP/2 Rapid Reset requer somente 20.000 computadores infectados para lançar ataques três vezes maiores do que os maiores ataques DDOS já registrados.

Isso significa que a barreira é muito menor para que os hackers obtenham a capacidade de lançar ataques DDOS devastadores.

Uma vez que se proteger contra redefinição rápida de HTTP/2?

Os editores de software de servidor estão atualmente trabalhando para lançar patches para expelir o ponto fraco da exploração do HTTP/2. Os clientes da Cloudflare estão atualmente protegidos e não precisam se preocupar.

A Cloudflare informa que, na pior das hipóteses, se um servidor estiver sob ataque e indefeso, o gestor do servidor poderá fazer o downgrade do protocolo de rede HTTP para HTTP/1.1.

O downgrade do protocolo de rede impedirá que os hackers continuem o ataque, mas o desempenho do servidor poderá diminuir (o que pelo menos é melhor do que permanecer offline).

Leia os boletins de segurança

Postagem do blog Cloudflare:
Vulnerabilidade de dia zero HTTP/2 resulta em ataques DDoS que quebram recordes

Alerta de segurança do Google Cloud:
O Google mitigou o maior ataque DDoS até o momento, atingindo um pico supra de 398 milhões de rps

Alerta de segurança da AWS:
CVE-2023-44487 – Ataque de reinicialização rápida HTTP/2

Imagem em destaque da Shutterstock/Illusmile

Pablo Oliveira
Pablo Oliveirahttp://pcextreme.com.br
Sou diretamente responsável pela manutenção, otimização, configuração e SEO de todos os sites de minha propriedade. Além disso, atuo como colunista, editor e programador.

Artigos relacionados

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

Artigos recentes