Attacchi DDoS record: correzioni rapidamente rilasciate

I fornitori si affrettano a risolvere la vulnerabilità Rapid Reset. I fornitori di server web hanno lavorato rapidamente per rispondere a una vulnerabilità nel protocollo HTTP2 che Google ha rilevato e che ha reso possibili attacchi DDoS a elevata capacità osservati dallo scorso agosto 2023. La vulnerabilità, identificata come CVE-2023-44487, è basata sulla capacità di HTTP2 di supportare più flussi in una sessione TCP ed è sfruttata in quello che Google ha definito attacco "Rapid Reset".

L'attacco Rapid Reset in dettaglio

In sostanza, il client dell'attaccante apre un elevato numero di flussi per sessione TCP verso il server e li annulla immediatamente, causando un esaurimento delle risorse sul server. "La capacità di annullare immediatamente i flussi permette a ogni connessione di avere un numero infinito di richieste in corso. Annullando esplicitamente le richieste, l'attaccante non supera mai il limite sul numero di flussi aperti contemporaneamente", afferma il post tecnico di Google.

Risposta dell'industria

Sono già state rilasciate correzioni per un gran numero di prodotti interessati (una lista completa è disponibile nell'entry CVE della vulnerabilità). Tra i prodotti già corretti ci sono il progetto Jetty di Eclipse, Swift, la libreria NGHTTP2, Tengine di Alibaba, Apache Tomcat, alcuni prodotti F5 Big-IP, Proxmox di Bugzilla, FreeBSD, Golang, Proxygen di Facebook e molti altri.

Attacchi DDoS record e mitigazione

Cloudflare, Google, Microsoft e Amazon dichiarano di aver mitigato con successo gli attacchi DDoS più grandi mai registrati ad agosto e settembre, grazie a una vulnerabilità zero-day nel protocollo HTTP/2 chiamata "HTTP/2 Rapid Reset". Gli attacchi sfruttavano la capacità di HTTP/2 di effettuare richieste simultanee a un sito web tramite una sola connessione, inviando e annullando immediatamente "centinaia di migliaia" di richieste ai siti web. Gli attacchi hanno sovraccaricato i server e li hanno resi non operativi. Google ha registrato il picco di traffico più elevato, con oltre 398 milioni di richieste al secondo, mentre Cloudflare e Amazon hanno registrato rispettivamente 201 milioni e 155 milioni di richieste al secondo. Microsoft non ha divulgato i suoi dati. Gli attacchi DDoS sono comuni e possono causare gravi problemi, come è stato il caso di Outlook, AO3 e di altri importanti servizi online.