Google Cloud, Amazon Web Services (AWS) y Cloudflare detuvieron lo que supuestamente es el mayor ataque DDOS jamás registrado, según reportaron de forma separada.
Las tres empresas informaron sobre la explotación de una vulnerabilidad de día cero llamada “HTTP/2 Rapid Reset”, rastreada como CVE-2023-44487, que actualmente se utiliza para ejecutar las campañas de ataque distribuido de denegación de servicio más grandes jamás vistas.
En 2022, Google Cloud reveló que uno de sus clientes había sido víctima del mayor ataque de este tipo, que alcanzó un máximo de 46 millones de solicitudes por segundo (RPS, por sus siglas en inglés). El HTTP/2 Rapid Reset registró un máximo de 398 millones de RPS.
Todas las organizaciones o individuos que utilizan servidores que se conectan a internet mediante la última revisión de Protocolo de Transferencia de Hipertexto (HTTP/2), desarrollada para hacer que las aplicaciones web sean más rápidas, eficientes y seguras, son vulnerables.
El ciberataque aprovecha la función de cancelación de transmisión de HTTP/2: el atacante envía una solicitud y la cancela inmediatamente. Automatizar dicho proceso de envío-cancelación a escala conduce a un ataque DDoS, que es lo que hicieron los ciberdelincuentes mediante múltiples bots.
Los reportes por empresa
AWS dijo que detectó y mitigó más de una docena de ataques HTTP/2 Rapid Reset durante dos días a finales de agosto, el más fuerte afectó sus infraestructuras con 155 millones de solicitudes por segundo.
Cloudflare reportó un pico de 201 millones de solicitudes por segundo y mitigó más de 1,100 otros ataques con más de 10 millones de RPS y 184 ataques mayores que el récord anterior de DDoS de 71 millones de RPS.
Por su parte, Google Cloud informó del mayor ataque, que alcanzó un máximo de 398 millones de RPS, utilizando la técnica HTTP/2 Rapid Reset.
En una publicación de blog explicó: “Para tener una idea de la escala, este ataque de dos minutos generó más solicitudes que el número total de vistas de artículos reportadas por Wikipedia durante todo el mes de septiembre de 2023”.
Respuesta coordinada
Google coordinó una respuesta intersectorial con otros proveedores de nube y mantenedores de software que implementan la pila de protocolos HTTP/2.
La coordinación permitió compartir inteligencia y metodologías de mitigación en tiempo real mientras los ataques continuaban.También permitió el surgimiento de parches y otras técnicas de mitigación.
“La colaboración ayudó a allanar el camino para la divulgación responsable coordinada de hoy de la nueva metodología de ataque y la susceptibilidad potencial a través de una multitud de servidores de aplicaciones, balanceadores de carga y servidores proxy comerciales y de código abierto comunes”, explicó Google.