Google, Cloudflare, Amazon Web Services (AWS) e Microsoft hanno bloccato il più grande attacco DDoS della storia. L’azienda di Mountain View ha misurato un picco di 398 milioni di richieste al secondo (rps), mentre il numero rilevato da Cloudflare e AWS è inferiore (201 milioni e 155 milioni, rispettivamente). Ignoti cybercriminali hanno sfruttato una nuova tecnica denominata HTTP/2 Rapid Reset.
Attacco DDoS con HTTP/2 Rapid Reset
L’attacco DDoS è iniziato nel mese di agosto e proseguito per diverse settimane. Quello rilevato da Google contro le sue infrastrutture cloud è circa 7,5 volte più grande del precedente (46 milioni di rps). L’azienda di Mountain View afferma che, durante i due minuti dell’attacco, sono state generate più richieste del numero di articoli visti su Wikipedia nell’intero mese di settembre.
Cloudflare scrive che l’attacco DDoS di livello 7 è stato effettuato con una botnet composta da circa 20.000 macchine, un numero piuttosto basso considerando l’enorme traffico generato. I cybercriminali hanno utilizzato la nuova tecnica Rapid Reset che sfrutta una vulnerabilità zero-day (CVE-2023-44487) del protocollo HTTP/2.
Il protocollo HTTP/2 velocizza il caricamento delle pagine attraverso richieste simultanee multiple su una singola connessione TCP. La funzionalità è nota come “stream multiplexing”. Il protocollo permette inoltre al client di comunicare al server che il precedente stream dovrebbe essere cancellato, inviando un frame (messaggio) RST_STREAM
.
La tecnica Rapid Reset prevede quindi l’invio di numerose richieste (stream) al server, subito seguite dalla loro cancellazione (frame RST_STREAM
). La connessione HTTP/2 rimane aperta, il server esaurisce le risorse (CPU in particolare) e si verifica il blocco del sito o servizio (errore 502 Bad Gateway).
Google, Cloudflare, Amazon Web Services e Microsoft hanno implementato le necessarie contromisure per i rispettivi servizi cloud. Aziende e utenti consumer devono installare le patch per la vulnerabilità CVE-2023-44487 che riduce l’impatto dell’attacco DDoS.
Microsoft consiglia di limitare il numero di richieste di cancellazione tramite chiave di registro. In casi estremi è possibile disattivare il protocollo HTTP/2, ma si ottiene una evidente diminuzione delle prestazioni.