Google, Amazon, Microsoft y Cloudflare revelaron esta semana que lanzaron ataques distribuidos de denegación de servicio masivos y sin precedentes contra su infraestructura de nube en agosto y septiembre. Los ataques DDoS son una amenaza clásica de Internet en la que los atacantes intentan saturar un servicio con tráfico basura, haciéndolo lento, y los piratas informáticos siempre están desarrollando nuevas tácticas para hacerlos más grandes o más efectivos.
Sin embargo, el último ataque es particularmente digno de mención porque los piratas informáticos explotaron una vulnerabilidad en un protocolo de red básico. Esto significa que, si bien los esfuerzos de aplicación de parches están en marcha, los parches deberán cubrir prácticamente todos los servidores de red del mundo antes de que estos ataques puedan erradicarse por completo.
La vulnerabilidad, conocida como "Restablecimiento rápido HTTP/2", sólo se puede utilizar para denegar el servicio y los atacantes no pueden tomar control remoto del servidor ni robar datos. Pero los ataques no tienen que ser sofisticados para causar grandes problemas: la disponibilidad es fundamental para acceder a cualquier servicio digital, desde infraestructura crítica hasta información importante.
Emil Kiner y Tim April de Google Cloud escribieron esta semana: "Los ataques DDoS pueden tener impactos generalizados en las organizaciones víctimas, incluidas pérdidas comerciales y falta de disponibilidad de aplicaciones de misión crítica. El tiempo para recuperarse de un ataque DDoS puede exceder con creces el tiempo que finaliza el ataque".
Otro aspecto de la situación es la fuente de la vulnerabilidad. RapidReset no existe en un software específico, sino en la especificación del protocolo de red HTTP/2 utilizado para cargar páginas web. HTTP/2, desarrollado por el Grupo de Trabajo de Ingeniería de Internet (IETF) y existe desde hace unos ocho años, es el sucesor más rápido y eficiente del protocolo de Internet clásico HTTP. HTTP/2 funciona mejor en dispositivos móviles y utiliza menos ancho de banda, por lo que se adopta ampliamente. El IETF está desarrollando actualmente HTTP/3.
Lucas Pardue y Julien Desgats de Cloudflare escribieron esta semana: Debido a que este ataque abusa de una debilidad potencial en el protocolo HTTP/2, creemos que cualquier proveedor que implemente HTTP/2 será vulnerable. Si bien parece haber un puñado de implementaciones que no se ven afectadas por RapidReset, Pardue y Desgats enfatizaron que el problema es ampliamente relevante para "todos los servidores web modernos".
A diferencia de una vulnerabilidad de Windows parcheada por Microsoft o una vulnerabilidad de Safari parcheada por Apple, es poco probable que una entidad central solucione las fallas en el protocolo porque cada sitio web implementa el estándar a su manera. Cuando los principales servicios de nube y proveedores de defensa DDoS crean soluciones para sus servicios, contribuyen en gran medida a proteger a todos los que utilizan su infraestructura. Pero las organizaciones y los individuos que administran sus propios servidores web deben desarrollar sus propias medidas de protección.
Dan Lorenc, director ejecutivo de ChainGuard, una empresa de seguridad de la cadena de suministro de software que lleva mucho tiempo involucrada en software de código abierto, señaló esta situación como un ejemplo de cómo la disponibilidad de código abierto y la omnipresencia de la reutilización de código (en lugar de construir siempre todo desde cero) es una ventaja, porque muchos servidores web pueden haber copiado la implementación HTTP/2 de otro lugar, en lugar de reinventar la rueda. Si estos proyectos se mantienen, desarrollarán correcciones de restablecimiento rápido y las implementarán para los usuarios.
Sin embargo, todavía faltan años para la adopción total de estos parches y todavía habrá algunos servicios que implementarán su propio HTTP/2 desde cero y que no tendrán parches disponibles en ningún otro lugar.
"Es importante señalar que cuando las grandes empresas tecnológicas se enteran de este problema, lo explotan activamente", afirmó Lorenc. "Se puede utilizar para paralizar servicios, como la tecnología operativa o los controles industriales. Da miedo".
Si bien la reciente serie de ataques DDoS contra Google, Cloudflare, Microsoft y Amazon generó alarmas debido a su gran escala, las empresas finalmente mitigaron los ataques sin causar daños duraderos. Sin embargo, al llevar a cabo un ataque, los piratas informáticos revelaron la existencia de una vulnerabilidad en el protocolo y cómo explotarla: una relación de causa y efecto conocida en la comunidad de seguridad como "día cero quemado". Si bien el proceso de parcheo llevará tiempo y algunos servidores web seguirán siendo vulnerables durante mucho tiempo, Internet es ahora más segura de lo que habría sido si los atacantes no hubieran mostrado sus cartas al explotar la vulnerabilidad.
Lorenc dijo: "Es inusual que una vulnerabilidad como esta aparezca en un estándar, es una vulnerabilidad novedosa y un descubrimiento valioso para quien la descubrió primero. Podrían haberla conservado o tal vez incluso venderla y hacer una fortuna. Siempre he tenido curiosidad por saber por qué alguien decidió 'quemar' esta vulnerabilidad".