Negli attacchi DDoS c’è un nuovo record, con ben 398 milioni di richieste al secondo, circa cinque volte più del precedente record di 71 milioni di richieste al secondo. Google, Cloudflare e AWS hanno collaborato per diffondere l’informazione, identificando la vulnerabilità come CVE-2023-44487 o Rapid Reset.
L'acronimo DDoS sta per "Distributed Denial of Service", ed è una forma di attacco informatico in cui un grande numero di dispositivi o computer connessi in rete viene utilizzato per inviare una quantità enorme di richieste a un server o a un servizio online. L'obiettivo di un attacco DDoS è sovraccaricare il server, rendendolo temporaneamente inutilizzabile per gli utenti legittimi. Questi attacchi possono causare interruzioni dei servizi online, danneggiando reputazioni aziendali e causando perdite finanziarie.
Le ricerche sono andata avanti per diversi mesi, finché non si è scoperti che i criminali stavano usando una vulnerabilità in HTTP/2 utilizzando una rete di bot più piccola del solito.
"Una cosa cruciale da notare riguardo all'attacco record è che coinvolgeva una botnet relativamente piccola, composta da circa 20.000 macchine. Cloudflare rileva regolarmente botnet molto più grandi di questo, composti da centinaia di migliaia e persino milioni di macchine", ha dichiarato l'azienda.
Tanto Cloudflare quanto Google e AWS hanno reso disponibili alcune soluzioni di mitigazione.
Come funziona Rapid Reset
In pochissime parole, quando un browser carica una pagina web manda molte richieste al server, caricando quest’ultimo con un po’ di lavoro - che in generale non rappresenta un problema per il server stesso. È possibile anche resettare la richiesta stessa, in genere per ragioni sensate: in questo caso il server smette di elaborare la richiesta annullata ma la connessione HTTP/2 resta aperta. Si può sfruttare questo sistema per mandare “in crisi” un server . Una spiegazione più approfondita si può trovare sulla pagina ufficiale pubblicata da Google.
Fondamentalmente, il processo consente agli aggressori di inondare i server con un numero maggiore di richieste mai viste prima, portando ad attacchi DDoS su larga scala difficili da mitigare.
Per mitigare il problema gli operatori hanno introdotto dei controlli sul numero e sulla frequenza delle richieste di reset. Secondo Amazon Web Services (AWS) chi ha sviluppato un'architettura resistente ai DDoS utilizzando CloudFront e AWS Shield non ha avuto problemi legati a questi recenti attacchi.
"Le mitigazioni per questa tipologia di attacco possono assumere forme multiple, ma si basano principalmente sul tracciamento delle statistiche di connessione e sull'uso di vari segnali e logiche aziendali per determinare quanto utile sia ciascuna connessione", ha dichiarato il Team Google.
"Ad esempio, se una connessione ha più di 100 richieste con più del 50 percento di richieste annullate, potrebbe essere candidata a una risposta di mitigazione. La portata e il tipo di risposta dipendono dal rischio per ciascuna piattaforma, ma le risposte possono variare dalla forza dei frame GOAWAY come discusso in precedenza alla chiusura immediata della connessione TCP.
Immagine di copertina: teamoktopus