LOGIN
Nelle ultime settimane sono stati registrati gli attacchi DDoS più grandi e pericolosi di sempre. E la maggior parte di questi dipende da un’unica vulnerabilità HTTP/2.
La notizia di una nuova vulnerabilità zero-day nel protocollo HTTP/2 sta preoccupando gli utenti di tutto il mondo. Anche perché a dare l’allarme sono stati dei veri e propri colossi internazionali, quali Cloudflare, Google, Microsoft e Amazon.
Questa vulnerabilità è stata denominata HTTP/2 Rapid Reset. Si tratta di un’accelerazione di caricamento, che permette di effettuare un gran numero di richieste simultanee a un singolo sito web. Il tutto utilizzando un’unica connessione.
Stando a Cloudflare gli attacchi DDoS hanno portato a milioni di richieste, che venivano inviate e cancellate automaticamente. In questo modo si è generato un sovraccarico dei server tale da portarli offline.
Il record di richieste registrato da Google corrisponde a quasi 400 milioni di richieste al secondo: una cifra monstre, sette volte superiore a qualsiasi altro attacco di questo tipo mai registrato.
Come funziona l’attacco DDoS di livello 7
L’attacco DDoS cui si faceva riferimento nei capoversi precedenti è considerato di livello 7. Per effettuarlo bisogna ricorrere a una botnet che può essere composta anche da decine di migliaia di macchine.
Le macchine utilizzano la sopracitata tecnica Rapid Reset, che sfrutta una vulnerabilità HTTP/2 zero-day di nome CVE-2023-44487. Infatti è proprio il protocollo a velocizzare il caricamento delle pagine: la funzionalità si chiama stream multiplexing e la velocizzazione viene generata dalle richieste simultanee inviate tramite un'unica connessione TCP.
Sempre il protocollo invia poi una comunicazione al server contenente il frame RST_STREAM: in questo modo viene richiesto che la comunicazione appena inviata venga subito cancellata.
Il Rapid Reset consiste in un ciclo continuo di invio e cancellazione di richieste, fino a raggiungere l’esaurimento delle risorse del server: una su tutte la sua CPU. In questo modo si arriva rapidamente o a un blocco della pagina, o in alternativa a un blocco del servizio.
Come difendersi dall’attacco DDoS di livello 7
Cloudflare, Google, Microsoft e Amazon hanno sviluppato delle patch da installare sui server e i servizi cloud, che permettono di contrastare gli attacchi DDoS.
Gli utenti possono inoltre utilizzare le chiavi di registro per limitare le richieste al server. O in alternativa disattivare il protocollo HTTP/2, accettando una riduzione contestuale delle prestazioni sul web.
Attenzione però, queste pratiche potrebbero non difendere da tutti gli attacchi DDoS. Esistono infatti delle varianti all’attacco base di livello 7.
Una di queste prevede che i flussi di richieste non vengano cancellati nell’immediato. Ma che piuttosto vengano aperti dei batch di flussi, che si annullano soltanto nel momento in cui ne vengono creati di nuovi.
Un’altra variante tralascia la fase di cancellazione per concentrarsi soltanto sull’invio di flussi simultanei di richieste. In questo caso l’obiettivo è semplicemente andare al di là delle possibilità del server.
Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web
