HTTP/2 Rapid Reset, la vulnerabilidad más peligrosa hasta el momento
Cloudflare, Inc., revela la vulnerabilidad zero-day: HTTP/2 Rapid Reset, una amenaza que genera los ataques de mayor magnitud que jamás se han producido en Internet.
Cloudflare mitigó con éxito estos problemas y detuvo una potencial violación para todos sus clientes. Al mismo tiempo, inició un proceso de revelación con otros dos importantes proveedores de infraestructura, para ampliar las mitigaciones de esta vulnerabilidad a un mayor porcentaje de usuarios de Internet antes de dar a conocer su existencia al público en general.
“Mitigar con éxito este tipo de amenazas para cada organización con infraestructuras críticas, y para los usuarios de Internet en general, es la tarea esencial de Cloudflare. Somos una de las pocas empresas con capacidad para identificar y abordar amenazas de esta magnitud a la velocidad necesaria para mantener la integridad de Internet. Si bien esta vulnerabilidad y ataque de denegación de servicios (DDoS) puede ser el más sofisticado, siempre habrá otro zero-day, tácticas de ciberdelincuentes, y nuevos ataques y técnicas en evolución, por lo que la constante preparación y respuesta a estos ataques y vulnerabilidades es nuestra tarea esencial”, Matthew Prince, director general de Cloudflare.
Deconstrucción de HTTP/2 Rapid Reset
A fines de agosto de 2023, Cloudflare descubrió una vulnerabilidad tipo zero-day, desarrollada por un ciberdelincuente desconocido. Zero-day se refiere a una amenaza que aparece repentinamente dentro de un sistema y que, al ser desconocida para el fabricante del software, no se ha creado un parche para corregirla. El término Zero-day se refiere al hecho de que los desarrolladores tienen cero días de aviso o preparación antes de que se descubra la vulnerabilidad y se aproveche de ella.
Esta vulnerabilidad, encontrada por Cloudflare, aprovecha el protocolo HTTP/2 estándar, que es la base de aproximadamente el 60 % de todas las aplicaciones web, y determina la velocidad y la calidad de cómo los usuarios ven los sitios web e interactúan con estos. Se trata de la pieza fundamental que permite a los navegadores interactuar con un sitio y le permite “solicitar” la visibilidad de cosas como imágenes y texto rápidamente, independientemente de la complejidad de la página.
Este nuevo ataque consiste en hacer cientos de miles de “solicitudes” y cancelarlas de inmediato. Al automatizar este patrón “solicitar, cancelar, solicitar, cancelar” a escala, los ciberdelincuentes sobrecargan los sitios web y pueden interrumpir todo lo que usa HTTP/2 fuera de línea.
“Rapid Reset” brinda a los ciberdelincuentes una nueva y potente manera de atacar a víctimas en toda Internet en una magnitud como jamás se había visto hasta ahora en Internet.
En función de los datos de Cloudflare, varios ataques que aprovechan Rapid Reset fueron casi tres veces mayores que el mayor ataque DDoS en la historia de Internet. En el momento pico de esta campaña de DDoS, Cloudflare registró y controló más 201 millones de solicitudes por segundo (Mrps), y mitigó miles de ataques adicionales que le siguieron.
Cloudflare frustró el ataque con otros pares de la industria
A los ciberdelincuentes que tienen métodos de ataques que baten récords les resulta sumamente difícil probar y entender su efectividad, debido a la falta de infraestructura para amortiguar los ataques. Por este motivo, ellos hacen pruebas contra proveedores como Cloudflare para entender mejor cómo funcionarán sus ataques.
“Si bien los ataques a gran escala como los que aprovechan vulnerabilidades como Rapid Reset pueden ser complejos y difíciles de mitigar, nos brindan una visibilidad sin precedentes de las nuevas técnicas de los ciberdelincuentes al comienzo de su desarrollo. Si bien no existe algo así como una “revelación perfecta”, con tiempos de inactividad y obstáculos en el camino, frustrar ataques y responder a incidentes de interrupción requiere organizaciones y equipos de seguridad que siempre supongan la existencia de vulnerabilidades, tal como lo que promueve el equipo de Cloudflare. En definitiva, esto nos permite ser un socio orgulloso que ayuda a tener una Internet más segura”, Grant Bourzikas, director de seguridad de Cloudflare.