Google Cloud, AWS y Cloudflare sufrieron los mayores ataques

Tanto, que el sufrido por Google Cloud está ya identificado como el más potente de la historia, con nada menos que más de 398 millones de peticiones por segundo en su pico de intensidad. Una cantidad de peticiones en un segundo superiores a las registradas por la Wikipedia durante todo el mes de septiembre, según han confirmado desde Google.

Este ataque empleó una técnica novedosa, conocida como Reset rápido, y fue 7 veces y media más potente que cualquier otro ataque de DDoS registrado hasta ahora. Y fue tan potente que, para que nos hagamos una idea, el más fuerte registrado en 2022 tuvo su pico en solo 46 peticiones por minuto.

Se trata de una técnica que explota la función de multiplexado de fludjo del protocolo HTTP/2, y supone el avance más reciente de los ataques de Capa 7. Funciona activando varias conexiones lógicas para que se multiplexen en una única sesión HTTP. Esta es una mejora con respecto a las versiones 1.x de HTTP, en las que cada sesión era única.

Por eso, un ataque de Reset rápido HTTP/2 consiste en varios conexiones HTTP/2 con peticiones y reseteos uno detrás de otro. Por lo tanto, quienes hayan implementado HTTP/2 en su página web, o en sus servicios de Internet, son objetivos potenciales para un ataque de Reset rápido.

En la práctica, este ataque funciona gracias a una serie de peticiones de varios flujos en transmisión, seguidos de manera inmediata por un reseteo de cada petición. El sistema objetivo analiza y actúa sobre cada petición, generando logs para una petición que resulta reseteada o cancelada. Por eso, el sistema objetivo consume tiempo y potencia de computación generando dichos logs aunque no se devuelvan datos de red al atacante. Si se producen demasiadas peticiones de este tipo, como en el caso de estos ataques, el sistema acaba bloqueándose.

Pero Google Cloud no ha sido el único proveedor de infraestructura cloud en registrar un ataque de este tipo. el CDN Cloudflare y AWS también experimentaron otros dos ataques de gran magnitud, con una intensidad que los coloca justo por detrás de la experimentada por Google Cloud. El de Cloudflare llegó a los 201 millones de peticiones por segundo, mientras que el de AWS se quedó en los 155 millones de peticiones por segundo. Todos, en agosto.

Este tipo de ataques DDoS mediante Reset rápido comenzaron a producirse a finales de agosto, y en la actualidad siguen produciéndose. Los objetivos de los atacantes que lo utilizan son, sobre todo, grandes proveedores de infraestructura. Eso sí, a pesar de su envergadura e intensidad, la infraestructura global de balance de cargas y mitigado de ataques DDoS de las principales tecnológicas ha logrado contener eficazmente este tipo de ataque, lo que ha hecho que sus clientes no haya experimentado ninguna interrupción en el servicio.

Al comenzar a registrar este tipo de ataques, las tecnológicas coordinaron una respuesta coordinada y común en el sector, compartiendo inteligencia y técnicas de mitigado con otros proveedores cloud y empresas de mantenimiento de software. Gracias a este esfuerzo colaborativo se han conseguido desarrollar parches y técnicas de mitigado que la mayoría de los proveedores de infraestructura han adoptado ya.

La vulnerabilidad que han explotado los atacantes para cometer este tipo de ataque está identificada como CVE-2023-44487, y en la actualidad ya hay varias empresas y proveedores trabajando en el desarrollo de parches para mitigarla. Es aconsejable que todas las organizaciones que cuentan con sistemas que sirven cargas de trabajo basadas en HTTP a Internet instalen los parches correspondientes cuando estén disponibles, además de verificar que sus servidores están seguros.