En octubre de 2023, Cloudflare ayudó a liderar la revelación de una vulnerabilidad zero-day en el protocolo HTTP/2 que permite ataques DDoS de gran volumen contra recursos HTTP como servidores web y aplicaciones web. A las pocas semanas de descubrirse la vulnerabilidad, los ciberdelincuentes la aprovecharon para lanzar cientos de ataques sin precedentes.
Los responsables de seguridad ven innumerables anuncios de ataques "sin precedentes" y "transformadores" como este y, en general, pueden tomarse la mayoría de ellos con cierta cautela. Sin embargo, este es distinto por varias razones, y representa un cambio en el panorama general de las amenazas.
Para abordar eficazmente este cambio, los responsables de seguridad deberán acelerar los principales aspectos de la migración a la nube y mejorar la visibilidad de los riesgos en toda su infraestructura web orientada a los clientes.
En la década de 2010, muchos de los ataques DDoS mayores y con mayor impacto aprovecharon las capas 3 y 4 del modelo OSI. Los ciberdelincuentes se dieron cuenta de que disponían de una táctica relativamente fiable y la utilizaron repetidamente. Algunos ejemplos conocidos son el ataque a SpamHaus de 2013, el ataque a Dyn de 2016 y el ataque a Wikimedia de 2019, el segundo de los cuales generó más de 1,3 Tb/s de tráfico malicioso.
Por supuesto, las organizaciones se adaptaron con el tiempo. Aumentó el ritmo de adopción de la nube (por lo que tenían menos infraestructura de red que proteger) e invirtieron en tecnología especializada diseñada para mitigar los mayores ataques DDoS a la red.
Puesto que la historia se repite, no es de extrañar que los ciberdelincuentes hayan cambiado su táctica. En los últimos años, varios ataques DDoS importantes han aprovechado los protocolos de la capa de aplicación, lo que revela la nueva tendencia. Estos ataques:
Eran hipervolumétricos.
Estaban más centrados en el volumen de tráfico (velocidad y volumen de solicitudes durante un periodo de tiempo) que en el tamaño del tráfico (ancho de banda de cada paquete, solicitud, etc.).
Estaban basados en tácticas más complejas (por ejemplo, técnicas zero-day y técnicas anteriores recicladas) y su objetivo eran organizaciones y sectores específicos.
La nueva vulnerabilidad HTTP/2 es un ejemplo definitorio de estas tendencias y plantea a las organizaciones varios desafíos específicos. Entender por qué se requiere una breve explicación de cómo funciona la vulnerabilidad.
Esta vulnerabilidad zero-day se ha ganado el apodo "Rapid Reset" porque aprovecha la función de cancelación de secuencia de HTTP/2.
En el protocolo HTTP/2, las secuencias son flujos de solicitudes y respuestas entre un cliente y un servidor. Fundamentalmente, un solicitante puede establecer o cancelar un secuencia unilateralmente. Hay muchas razones legítimas para utilizar esta función. Sin embargo, en los ataques "Rapid Reset" los ciberdelincuentes generan avalanchas de solicitudes de cancelación maliciosas que eluden los límites de velocidad habituales de un servidor objetivo. (Consulta aquí un desglose técnico detallado de la vulnerabilidad).
A partir de agosto de 2023, Cloudflare observó que los ciberdelincuentes utilizaban este método con gran efecto. Durante ese periodo, cientos de ataques "Rapid Reset" superaron el anterior ataque sin precedentes de 71 millones de solicitudes maliciosas por segundo registrado por Cloudflare. El mayor de ellos triplicó esa velocidad.
¿Por qué es esto preocupante?
Una de las razones es la infraestructura de los ciberdelincuentes. El ataque sin precedentes utilizó una botnet de 20 000 máquinas, una cantidad relativamente modesta en comparación con lo que es habitual para las botnets modernas. Para poner esto en contexto, Cloudflare detecta periódicamente botnets con cientos de miles e incluso millones de máquinas.
Asimismo, la vulnerabilidad en sí está muy extendida. Aproximadamente el 62 % de todo el tráfico de Internet utiliza el protocolo HTTP/2, lo que significa que la mayoría de las aplicaciones y servidores web son intrínsecamente vulnerables. Las primeras investigaciones de Cloudflare indican que HTTP/3 probablemente también sea vulnerable, por lo que HTTP/1.1 es el único protocolo no afectado. Sin embargo, volver a HTTP/1.1 raras veces es una opción realista, ya que gran parte de la red de Internet moderna depende de las mejoras de rendimiento de HTTP/2 y HTTP/3.
Esto significa que es muy posible que los ciberdelincuentes adapten y aprovechen la vulnerabilidad en los próximos meses y años. Conforme nuevos grupos de ciberdelincuentes con más recursos hagan pruebas con ella, no es descabellado imaginar que se produzcan nuevos ataques DDoS sin precedentes.
Así, ¿qué deben hacer los responsables de seguridad y sus equipos para garantizar su protección?
Toda práctica de seguridad implica la combinación adecuada de tecnología y proceso, y responder a esta nueva generación de ataques DDoS a la capa de aplicación no es distinto.
A nivel tecnológico, los responsables de seguridad deben dar prioridad a estas medidas:
Mover la mitigación de DDoS a la capa de aplicación fuera de tu centro de datos. Incluso el hardware de mitigación de DDoS más eficaz probablemente sucumbiría a un ataque hipervolumétrico como el de "Rapid Reset". Si tu organización ha estado planteándose trasladar a la nube la mitigación de DDoS a la capa de aplicación, ahora es un buen momento para ello.
Considerar un proveedor secundario de mitigación de DDoS a la capa de aplicación basado en la nube para mejorar la resiliencia. Aunque es difícil prever con precisión el tamaño futuro de los ataques, suele ser una práctica recomendada general para las aplicaciones web especialmente críticas.
Garantizar la implementación de los parches pertinentes para servidor web y para el sistema operativo en todos los servidores web conectados a Internet.. Garantizar asimismo que en todos los sistemas de automatización, como las versiones y las imágenes Terraform, se hayan aplicado todos los parches necesarios, a fin de evitar que versiones anteriores de los servidores web se implementen accidentalmente en producción sobre las imágenes protegidas.
La tecnología por sí sola no proporcionará protección suficiente. Una de las razones está relacionada con la aplicación de revisiones, una tarea que es sencilla de hacer de forma aislada, pero más difícil de poner en la práctica para su realización sistemática a lo largo del tiempo. Como ejemplo de esta desafortunada realidad, considera que un año después de que se revelara la vulnerabilidad Log4J mencionada anteriormente y se publicara una revisión, la mayoría de las organizaciones seguían parcialmente expuestas.
Además, las aplicaciones web modernas dependen más que nunca de asociaciones e integraciones de terceros, que también podrían ser vulnerables. Por ello, es igualmente importante que los responsables de seguridad den prioridad a estas medidas adicionales:
Comprender la conectividad externa de la red de tus socios. ¿Son esos socios y otros terceros plenamente conscientes de la vulnerabilidad? ¿Su actuación tiene en cuenta las medidas mencionadas anteriormente?
Comprender tus procesos y hábitos actuales para detectar y responder a un ataque y solucionar los problemas de la red. El comienzo de un ataque activo no es el mejor momento para empezar a evaluar la resistencia y eficacia de tu equipo. Ahora es el momento de convertir la gestión de incidentes, la aplicación de revisiones y la evolución de tu protección de seguridad en procesos continuos.
Con estas mejoras en los procesos, las organizaciones adoptarán una postura más acertada ante posibles futuras vulnerabilidades "Rapid Reset", y también prepararán a su organización para otros cambios en el panorama más general de los ataques DDoS.
Cloudflare fue una de las primeras organizaciones en identificar esta vulnerabilidad zero-day y ha seguido continuamente su evolución, trabajando en todo el sector para garantizar la protección de las organizaciones. Estos esfuerzos incluyen el desarrollo y el lanzamiento de una nueva tecnología especialmente diseñada para detener estos ataques y mejorar aún más la capacidad de la red de Cloudflare para mitigar otros ataques masivos futuros.
Estas mejoras se basan en las ventajas existentes que ofrece Cloudflare con el objetivo de ayudar a las organizaciones a protegerse contra los ataques de mayor tamaño:
Más de 296 Tb/s de capacidad de red, para absorber el mayor volumen de tráfico malicioso
Capacidad de mitigación distribuida por todo el mundo, para que tu experiencia de cliente no sufra debido a la redirección del tráfico
Modelos de aprendizaje automático basados en información sobre amenazas excepcionalmente amplia, a fin de detectar muchas vulnerabilidades zero-day antes de que se anuncien
Cloudflare es la empresa líder en conectividad cloud. Ayuda a las organizaciones a mejorar la velocidad y la seguridad de sus usuarios, sus aplicaciones y sus redes, en todo el mundo, al tiempo que reduce la complejidad y los costes. La conectividad cloud de Cloudflare ofrece la plataforma más completa y unificada de productos nativos de nube y herramientas para desarrolladores, de forma que cualquier organización pueda tener el control que necesita para trabajar, desarrollar y acelerar su negocio.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Descarga el libro electrónico Cómo evitar el tiempo de inactividad: guía de los modelos de protección contra ataques DDoS para obtener más información acerca de la mitigación de DDoS.
Después de leer este artículo podrás entender:
Cómo la explotación de la vulnerabilidad "Rapid Reset" causa ataques DDoS masivos
Cómo los ciberdelincuentes combinan distintas tácticas, p. ej. DDoS y zero-day, para atacar a las organizaciones
Qué hacer para proteger a tu organización contra la vulnerabilidad
Cómo evitar el tiempo de inactividad: guía de los modelos de protección contra ataques DDoS
Promover la ciberresiliencia: el rol del liderazgo para definir la cultura organizativa
Blog: La vulnerabilidad HTTP/2 zero-day abre la puerta a ataques DDoS sin precedentes