Con un annuncio congiunto, Amazon Web Services (AWS), Cloudflare e Google hanno segnalato oggi l’esistenza di un colossale attacco DDoS (Distributed Denial of Service), che va avanti ormai già dallo scorso agosto e che sfrutta una vulnerabilità insita nel protocollo HTTP/2.
HTTP/2 è la seconda versione del protocollo di trasferimento ipertestuale HTTP, comunemente utilizzato per gestire le comunicazioni tra browser e server Web. Una delle caratteristiche più significative di HTTP/2 è il supporto per il multiplexing. Mentre in HTTP/1.1 le richieste e le risposte dovevano essere elaborate in sequenza, HTTP/2 consente di inviare molteplici richieste e risposte simultaneamente sullo stesso collegamento. Un approccio che migliora notevolmente l’efficienza della comunicazione.
Cos’è e come funziona l’attacco HTTP/2 Rapid Reset
Il metodo di attacco (HTTP/2 Rapid Reset) sfruttato dagli aggressori fa leva sulla funzionalità di HTTP/2 nota come stream cancellation (cancellazione di flusso). Essa consente di interrompere la trasmissione di dati associata a un determinato flusso di comunicazione tra client e server senza dover arrestare l’intera connessione. Si tratta di una caratteristica utilizzata per migliorare l’efficienza della comunicazione e gestire meglio le risorse di rete.
I ricercatori hanno però scoperto una lacuna di sicurezza zero-day, classificata con l’identificativo CVE-2023-44487. Essa abusa di una debolezza nel protocollo HTTP/2 per inviare e annullare continuamente richieste, sovraccaricando il server o l’applicazione di destinazione. La funzionalità stream cancellation è utilizzata per inviare rapidamente, verso il server da aggredire, un gran numero di richieste di reset (frame RST_STREAM
) chiedendo di elaborare quindi di interrompere ogni richiesta. Ciò che ne risulta è una vera e propria azione vandalica che assume le sembianze di un vero e proprio attacco DoS. Che diventa potenzialmente distruttivo quando le richieste arrivano da più client contemporaneamente: ecco quindi che l’aggressione DoS diventa distributed ovvero “distribuita”.
Le conseguenze dell’aggressione di rete
AWS, Cloudflare e Google spiegano che i proxy o bilanciatori di carico compatibili con HTTP/2 sono particolarmente suscettibili alle lunghe sequenze di richieste di reset inviate in rapida successione.
Cloudflare afferma che gli attacchi hanno comportato un aumento significativo degli errori 502 Bad Gateway tra i sistemi dell’azienda e i server degli utenti finali. L’azienda è riuscita a contrastare gli attacchi DDoS in questione utilizzando un sistema progettato per gestire attacchi ipervolumetrici chiamato IP Jail: Cloudflare ne ha fatto uso per proteggere l’intera infrastruttura. La soluzione adottata “imprigiona” gli IP offensivi e impedisce loro di utilizzare HTTP/2 per qualsiasi dominio di Cloudflare lungo un certo lasso di tempo.
Amazon afferma di aver contrastato un elevato numero di attacchi basati sullo sfruttamento della vulnerabilità HTTP/2 Rapid Reset senza però fornire dettagli sul loro impatto. La società ha tenuto a precisare che l’accessibilità dei servizi è stata conservata.
Google osserva che il protocollo, purtroppo, non prevede che client e server coordino in qualche modo le richieste di reset quindi un utente malevolo può abusare di questo schema.
Tutte e tre le aziende concordano che il miglior approccio per contrastare gli attacchi HTTP/2 Rapid Reset consiste nell’utilizzare tutti gli strumenti di protezione contro gli attacchi HTTP-flood oggi disponibili e rafforzare la resilienza delle infrastrutture nei confronti dei DDoS con soluzioni che agiscono a più livelli.
In un post separato, Cloudflare spiega che la società ha dovuto mantenere il massimo riserbo sullo zero-day in questione (per oltre un mese) così da dare tempo ai player del settore di predisporre le opportune contromisure.
Il volume degli attacchi da agosto 2023 a oggi
Per dare un’idea dell’impatto sul business e sul flusso operativo delle varie aziende, Amazon ha dichiarato di aver sostenuto attacchi DDoS basati sullo sfruttamento di HTTP/2 Rapid Reset che raggiungevano i 155 milioni di richieste al secondo. Valori ancora più elevati per Cloudflare che parla di oltre 200 milioni di richieste per secondo.
Cloudflare sottolinea che le dimensioni dell’attacco sono tre volte superiori al record precedente, registrato nel febbraio 2023 (71 milioni di richieste per secondo). È allarmante notare che gli aggressori promotori dell’attacco abbiano ottenuto tale effetto ricorrendo a una botnet composta da un numero relativamente ridotto di macchine: appena 20.000 sistemi circa.
“Ci sono botnet oggi composte da centinaia di migliaia o milioni di macchine“, commenta Cloudflare. “Dato che l’intera rete Web vede tipicamente solo tra 1 e 3 miliardi di richieste al secondo, non è impensabile che utilizzando questo metodo si potrebbero concentrare tutte le richieste di un’intera rete su un numero limitato di bersagli“.
Credit immagine in apertura: iStock.com/Olemedia