Google, Amazon, Microsoft e Cloudflare revelaram esta semana que lançaram ataques distribuídos massivos e recordes de negação de serviço contra sua infraestrutura em nuvem em agosto e setembro. Os ataques DDoS são uma ameaça clássica da Internet em que os invasores tentam sobrecarregar um serviço com tráfego indesejado, tornando-o rastejante, e os hackers estão sempre desenvolvendo novas táticas para torná-los maiores ou mais eficazes.
No entanto, o ataque mais recente é particularmente digno de nota porque os hackers exploraram uma vulnerabilidade num protocolo de rede básico. Isso significa que, embora os esforços de correção estejam bem encaminhados, os patches precisarão cobrir essencialmente todos os servidores de rede do mundo antes que esses ataques possam ser completamente erradicados.
A vulnerabilidade, conhecida como “HTTP/2 Fast Reset”, só pode ser usada para negar serviço, e os invasores não podem assumir remotamente o controle do servidor ou roubar dados. Mas os ataques não têm de ser sofisticados para causar grandes problemas – a disponibilidade é fundamental para aceder a qualquer serviço digital, desde infraestruturas críticas a informações importantes.
Emil Kiner e Tim April, do Google Cloud, escreveram esta semana: “Os ataques DDoS podem ter impactos generalizados nas organizações vítimas, incluindo perdas de negócios e indisponibilidade de aplicativos de missão crítica.
Outro aspecto da situação é a origem da vulnerabilidade. RapidReset não existe em um software específico, mas na especificação do protocolo de rede HTTP/2 usado para carregar páginas da web. O HTTP/2, desenvolvido pela Internet Engineering Task Force (IETF) e que existe há cerca de oito anos, é o sucessor mais rápido e eficiente do clássico protocolo da Internet HTTP. O HTTP/2 funciona melhor em dispositivos móveis e usa menos largura de banda, por isso é amplamente adotado. A IETF está atualmente desenvolvendo HTTP/3.
Lucas Pardue e Julien Desgats, da Cloudflare, escreveram esta semana: Como esse ataque abusa de uma fraqueza potencial no protocolo HTTP/2, acreditamos que qualquer provedor que implemente HTTP/2 estará vulnerável. Embora pareça haver algumas implementações que não são afetadas pelo RapidReset, Pardue e Desgats enfatizaram que o problema é amplamente relevante para “todos os servidores web modernos”.
Ao contrário de uma vulnerabilidade do Windows corrigida pela Microsoft ou de uma vulnerabilidade do Safari corrigida pela Apple, é improvável que as falhas no protocolo sejam corrigidas por uma entidade central porque cada site implementa o padrão à sua maneira. Quando os principais serviços de nuvem e provedores de defesa DDoS criam soluções para seus serviços, eles percorrem um longo caminho para proteger todos que usam sua infraestrutura. Mas as organizações e indivíduos que gerem os seus próprios servidores web precisam de desenvolver as suas próprias medidas de protecção.
Dan Lorenc, CEO da ChainGuard, uma empresa de segurança da cadeia de fornecimento de software que está envolvida há muito tempo com software de código aberto, apontou esta situação como um exemplo de como a disponibilidade de código aberto e a difusão da reutilização de código (em vez de sempre construir tudo do zero) é uma vantagem, porque muitos servidores web podem ter copiado a implementação HTTP/2 de outro lugar, em vez de reinventar a roda. Se esses projetos forem mantidos, eles desenvolverão correções rápidas de redefinição e as distribuirão aos usuários.
A adoção total desses patches ainda levará anos e ainda haverá alguns serviços implementando seu próprio HTTP/2 do zero que não terão patches disponíveis em nenhum outro lugar.
“É importante notar que quando as grandes empresas de tecnologia descobrem esta questão, ela está sendo ativamente explorada”, disse Lorenc. "Isso pode ser usado para paralisar serviços, como tecnologia operacional ou controles industriais. É assustador."
Embora a recente onda de ataques DDoS contra Google, Cloudflare, Microsoft e Amazon tenha gerado alarmes devido à sua escala, as empresas acabaram por mitigar os ataques sem causar danos duradouros. No entanto, ao realizar um ataque, os hackers revelaram a existência de uma vulnerabilidade de protocolo e como explorá-la – uma relação de causa e efeito conhecida na comunidade de segurança como “burned zero-day”. Embora o processo de correção demore algum tempo e alguns servidores Web permaneçam vulneráveis por muito tempo, a Internet está mais segura agora do que seria se os invasores não tivessem mostrado suas cartas explorando a vulnerabilidade.
Lorenc disse: “É incomum que uma vulnerabilidade como essa apareça em um padrão, é uma vulnerabilidade nova e uma descoberta valiosa para quem a descobriu primeiro.