Em outubro de 2023, a Cloudflare ajudou a liderar a divulgação de uma vulnerabilidade zero-day no protocolo HTTP/2 que permite ataques DDoS de alto volume contra recursos HTTP, como servidores web e aplicativos web. Poucas semanas após a descoberta da vulnerabilidade, os invasores a exploraram para lançar centenas de ataques recordes.
Os líderes de segurança veem inúmeros anúncios “quebram recordes” e “transformadores” como este e, geralmente, costumam encará-los com um certo ceticismo. No entanto, este é diferente por vários motivos e representa uma mudança no cenário geral de ameaças.
Para navegar com sucesso nessa mudança, os líderes de segurança precisarão acelerar os principais aspectos da migração para a nuvem e obter melhor visibilidade dos riscos em toda a infraestrutura web voltada para o cliente.
Na década de 2010, muitos dos maiores e mais impactantes ataques DDoS exploraram as camadas 3 e 4 do modelo OSI. Os invasores perceberam que tinham uma tática relativamente confiável e a usaram repetidamente. Exemplos famosos incluem o ataque SpamHaus de 2013, o ataque Dyn de 2016 e o ataque Wikimedia de 2019, o segundo dos quais gerou mais de 1,3 Tbps de tráfego malicioso.
É claro que as organizações se adaptaram ao longo do tempo. A taxa de adoção da nuvem aumentou, o que lhes deu menos infraestrutura de rede própria para proteger, e eles investiram em tecnologia especializada projetada para atenuar os maiores ataques DDoS de rede.
Como a história se repete, não é de surpreender que os invasores mudem suas táticas. Nos últimos anos, vários ataques DDoS notáveis exploraram o protocolo de camada de aplicação, revelando a nova tendência. Esses ataques são:
Hipervolumétricos.
Mais focados no volume de tráfego (velocidade e volume de solicitações durante um período de tempo) do que no tamanho do tráfego (largura de banda de cada pacote, solicitação etc.).
Baseados em táticas mais complexas, como zero-day, reciclagem de técnicas antigas de novas maneiras e direcionamento para setores e organizações específicos.
A nova vulnerabilidade HTTP/2 é um exemplo definitivo dessas tendências e apresenta às organizações vários desafios exclusivos. Para entender o motivo, é necessária uma breve explicação de como a vulnerabilidade funciona.
Essa vulnerabilidade zero-day ganhou o apelido de "Rapid Reset" porque explora o recurso de cancelamento de fluxo do HTTP/2.
No protocolo HTTP/2, os fluxos são sequências de solicitações e respostas entre um cliente e um servidor. Essencialmente, um solicitante pode estabelecer ou cancelar um fluxo unilateralmente. Há muitos motivos legítimos para usar esse recurso, mas nos ataques "Rapid Reset", os agentes de ameaça geram uma enxurrada de solicitações de cancelamento maliciosas que ignoram os limites de taxa usuais do servidor visado. (Veja aqui uma análise técnica detalhada da exploração).
A partir de agosto de 2023, a Cloudflare observou invasores usando esse método com resultados poderosos. Durante esse período, centenas de ataques "Rapid Reset" ultrapassaram o recorde anterior da Cloudflare de 71 milhões de solicitações maliciosas por segundo (rps). O maior deles superou esse recorde por um fator de três.
Por que isso é preocupante?
Um dos motivos é a infraestrutura dos invasores. O ataque recorde usou uma botnet de 20 mil máquinas. E 20 mil é relativamente modesto para os padrões das botnets modernas. Para fins de contexto, a Cloudflare detecta regularmente botnets com centenas de milhares e até milhões de máquinas.
Além disso, a própria vulnerabilidade é extremamente difundida. Aproximadamente 62% de todo o tráfego de internet usa o protocolo HTTP/2, o que significa que a maioria dos aplicativos e servidores web são inerentemente vulneráveis. A pesquisa inicial da Cloudflare indica que o HTTP/3 provavelmente também está vulnerável, tornando o HTTP/1.1 o único protocolo não afetado. E, no entanto, voltar ao HTTP/1.1 raramente é uma opção realista, pois grande parte da internet moderna depende dos aprimoramentos de desempenho do HTTP/2 e do HTTP/3.
Isso significa que a vulnerabilidade tem um potencial significativo para ser adaptada e explorada nos próximos meses e anos. À medida que novos grupos de ataque com mais recursos fazem experimentos com ela, não é absurdo imaginar que outro recorde de DDoS seja estabelecido.
Então, o que os líderes de segurança e suas equipes devem fazer para garantir que estejam protegidos?
Toda prática de segurança envolve uma combinação bem-sucedida de tecnologia e processo, e a resposta a essa próxima geração de ataques DDoS na camada de aplicação não é diferente.
Em um nível tecnológico, os líderes de segurança devem priorizar as seguintes etapas:
Mover a mitigação de DDoS na camada de aplicação para fora de seus data centers. Até mesmo o hardware de mitigação de DDoS mais robusto provavelmente cederia a ataques hipervolumétricos como o “Rapid Reset”. Se a sua organização está considerando migrar a mitigação de DDoS na camada de aplicação para a nuvem, agora é um bom momento para agir.
Considerar um provedor secundário de mitigação de DDoS na camada de aplicação baseado em nuvem para resiliência. Embora seja difícil prever com precisão o tamanho de ataques futuros, essa costuma ser uma prática recomendada geral para aplicativos web particularmente crítico.
Garantir que as correções relevantes do servidor web e do sistema operacional sejam implantados em todos os servidores web voltados para a internet. Além disso, certificar-se de que toda a automação, como compilações e imagens do Terraform, esteja totalmente corrigida, para evitar que versões mais antigas de servidores web sejam implantadas acidentalmente em produção sobre as imagens seguras.
A tecnologia por si só não fornecerá proteção suficiente. Uma razão está relacionada à aplicação de correções, uma tarefa simples de realizar isoladamente, mas mais difícil de operacionalizar para garantir consistência ao longo do tempo. Para exemplificar essa verdade lamentável, considere que um ano após a divulgação da mencionada vulnerabilidade Log4J e o lançamento de uma correção, a maioria das organizações ainda estava parcialmente exposta.
Além disso, os aplicativos web modernos dependem mais do que nunca de parcerias e integrações de terceiros, que também podem estar vulneráveis. Portanto, é igualmente importante que os líderes de segurança priorizem essas etapas adicionais:
Entender a conectividade externa de sua rede de parceiros. Esses parceiros e outros terceiros estão totalmente cientes da vulnerabilidade? Eles estão agindo de acordo com as etapas tecnológicas mencionadas acima?
Entender seus processos e hábitos existentes para detectar e responder a um ataque e corrigir problemas de rede. O início de um ataque ativo não é hora de começar a avaliar a resiliência e a eficiência da sua equipe. Agora é o momento de transformar o gerenciamento de incidentes, a aplicação de correções e a evolução de suas proteções de segurança em processos contínuos.
Com essas melhorias no processo, as organizações adotarão uma postura mais criteriosa contra possíveis explorações "Rapid Reset" futuras e também prepararão suas organizações para outras mudanças no cenário mais amplo de DDoS.
A Cloudflare foi uma das primeiras organizações a identificar esse zero-day e tem monitorado continuamente sua evolução, trabalhando em todo o setor para garantir a proteção das organizações. Esses esforços incluem o desenvolvimento e o lançamento de uma nova tecnologia criada especificamente para interromper esses ataques e melhorar ainda mais a capacidade da rede da Cloudflare de mitigar outros ataques maciços mais adiante.
Esses aprimoramentos se baseiam nas vantagens existentes da Cloudflare com o objetivo de ajudar as organizações a se protegerem dos maiores ataques:
Mais de 296 Tbps de capacidade de rede, para absorver o maior volume de tráfego malicioso
Mitigação distribuída globalmente, para que a experiência do cliente não seja prejudicada devido ao backhauling do tráfego
Modelos de aprendizado de máquina com base em uma inteligência contra ameaças excepcionalmente ampla, para detectar muitos zero-days antes de serem anunciados
A Cloudflare é a empresa líder em nuvem em conectividade. Ela permite que as organizações tornem seus funcionários, aplicativos e redes mais rápidos e seguros em qualquer lugar, ao mesmo tempo que reduz a complexidade e os custos. A nuvem de conectividade da Cloudflare oferece a plataforma unificada e mais completa de produtos nativos de nuvem e ferramentas para desenvolvedores, para que qualquer organização possa obter o controle necessário para trabalhar, desenvolver e acelerar seus negócios.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Leia o e-book Deter o tempo de inatividade: Um guia para modelos de defesa contra DDoS para saber mais sobre mitigação de DDoS.
Após ler este artigo, você entenderá:
Como a exploração da vulnerabilidade "Rapid Reset" resulta em ataques DDoS em massa
Como os invasores combinam táticas, por exemplo DDoS e zero-day, para atingir organizações
O que fazer para proteger sua organização contra a vulnerabilidade
Deter o tempo de inatividade: Um guia para modelos de defesa contra DDoS
Desbloquear a resiliência cibernética: o papel da liderança na formação da cultura organizacional
Blog: A vulnerabilidade HTTP/2 zero-day resulta em ataques DDoS recordes