Las compañías de Internet Google, Amazon y Cloudflare dicen que han resistido el mayor ataque de denegación de servicio conocido en Internet y están haciendo sonar la alarma sobre una nueva técnica que, según advierten, podría causar fácilmente una interrupción generalizada.
Google, propiedad de Alphabet Inc, dijo en una publicación de blog publicada el martes que sus servicios en la nube habían detenido una avalancha de tráfico no autorizado de más de siete veces el tamaño del anterior ataque récord frustrado el año pasado.
La empresa de protección de Internet Cloudflare Inc dijo que el ataque fue «tres veces mayor que cualquier ataque anterior que hayamos observado«. La división de servicios web de Inc también confirmó haber sido afectada por «un nuevo tipo de evento de denegación de servicio distribuido (DDoS)«.
Los tres dijeron que el ataque comenzó a finales de agosto; Google dijo que estaba en curso.
La denegación de servicio es una de las formas de ataque más básicas de la web y funciona simplemente saturando los servidores específicos con una manguera de solicitudes falsas de datos, haciendo imposible el paso del tráfico web legítimo.
A medida que el mundo en línea se ha desarrollado, también lo ha hecho el poder de las operaciones de denegación de servicio, algunas de las cuales pueden generar millones de solicitudes falsas por segundo. Los recientes ataques medidos por Google, Cloudflare y Amazon fueron capaces de generar cientos de millones de solicitudes por segundo.
Google dijo en su blog que solo dos minutos de uno de esos ataques «generaron más solicitudes que el número total de vistas de artículos reportadas por Wikipedia durante todo el mes de septiembre de 2023». Cloudflare dijo que el ataque fue de una magnitud «nunca antes vista«.
Las tres compañías dijeron que los ataques de gran tamaño fueron permitidos por una debilidad en HTTP/2 – una versión más nueva del protocolo de red HTTP que sustenta la World Wide Web – que hace que los servidores sean particularmente vulnerables a solicitudes no autorizadas.
Las compañías anteriores instaron a las empresas a actualizar sus servidores web para asegurarse de que no sigan siendo vulnerables.
Ninguna de las tres empresas dijo quién fue el responsable de los ataques de denegación de servicio, que históricamente han sido difíciles de precisar.
Si se dirigen inteligentemente y no se contrarrestan con éxito, estos ataques pueden provocar una perturbación generalizada. En 2016, un ataque atribuido a la red «Mirai» de dispositivos secuestrados afectó al servicio de nombres de dominio Dyn, interrumpiendo una serie de sitios web de alto perfil.
El organismo de control de ciberseguridad del gobierno de Estados Unidos, CISA, no respondió de inmediato a un mensaje en busca de comentarios.
¿Dónde radica el problema?
Las tres compañías llegaron a la conclusión de que dichos ataques habían sido provocados por una vulnerabilidad recién descubierta en el protocolo HTTP/2 —una pieza fundamental de la infraestructura de Internet, base del 60% de las aplicaciones web—.
Esta vulnerabilidad, conocida como CVE-2023-44487, permite a los atacantes apostar por un nuevo enfoque en su misión de sobrecargar sitios web con un flujo repentino de tráfico, dejándolos temporalmente inaccesibles para los usuarios.
Este tipo de ataque se conoce como ‘Ataque de Reset Rápido de HTTP/2‘ y, hasta el momento, no ha podido ser atribuido a ningún grupo de hackers conocido.
Esta técnica, que permite multiplexar de múltiples solicitudes en una sola conexión, se basa en automatizar la creación masiva de solicitudes de conexión y en su cancelación inmediata, creando un patrón de «solicitud, cancelación, solicitud, cancelación» a gran escala.
El problema radica en que los servidores necesitan procesar estas solicitudes y, si no pueden hacerlo a un ritmo suficientemente rápido, se acumulan en una especie de cola, consumiendo recursos del servidor y ralentizando o incluso bloqueando el acceso a otros usuarios legítimos.
Fuente y redacción: underc0de.org
