Indice dei contenuti dell'articolo:
Introduzione
Recentemente, colossi tecnologici come Google, Amazon, Microsoft e Cloudflare hanno rivelato di aver affrontato attacchi DDoS massicci contro la loro infrastruttura cloud. Gli attacchi erano tanto unici quanto pericolosi, poiché sfruttavano una vulnerabilità in un protocollo web fondamentale: HTTP/2. Questo articolo mira a spiegare la gravità della situazione e cosa significa per le aziende e i singoli che utilizzano servizi web.
Cos’è HTTP/2 Rapid Reset?
La vulnerabilità nota come “HTTP/2 Rapid Reset” è stata segnalata con l’identificativo CVE-2023-44487 e sfrutta una debolezza nel protocollo HTTP/2. Non permette di prendere il controllo remoto di un server né di esfiltrare dati, ma permette agli aggressori di portare a termine attacchi di tipo Denial of Service (DoS). Secondo Emil Kiner e Tim April di Google Cloud, una simile perdita di disponibilità può avere un “impatto su larga scala sulle organizzazioni vittime, inclusa la perdita di affari e l’indisponibilità di applicazioni mission-critical”.
Come Funziona l’Attacco?
L’attacco sfrutta la funzione di cancellazione di flusso (stream cancellation) di HTTP/2 per inviare e annullare continuamente le richieste, sovraccaricando il server o l’applicazione target e imponendo uno stato di DoS. Gli attori malevoli utilizzano questa tecnica fin da agosto per inviare una raffica di richieste e reset HTTP/2 (quadri RST_Stream) su un server, chiedendo al server di elaborarli e eseguire rapidi reset, superando così la sua capacità di rispondere alle nuove richieste in arrivo.
Salvaguardie Inefficaci
HTTP/2 include una misura di sicurezza sotto forma di un parametro che limita il numero di flussi attivi contemporaneamente per prevenire attacchi DoS. Tuttavia, questa misura non è sempre efficace. Gli sviluppatori del protocollo hanno introdotto una misura più efficiente chiamata “cancellazione della richiesta” (request cancelation), che non interrompe l’intera connessione, ma che può essere abusata.
Dettagli Tecnici
Come spiega Google nel suo post sull’argomento, “il protocollo non richiede che il client e il server coordinino la cancellazione in alcun modo; il client può farlo unilateralmente”. Questo significa che il client può assumere che la cancellazione avrà effetto immediatamente quando il server riceve il frame RST_STREAM, prima che venga elaborato qualsiasi altro dato da quella connessione TCP.
Da Dove Proviene la Vulnerabilità?
La vulnerabilità è insita nella specifica del protocollo HTTP/2, sviluppato dall’Internet Engineering Task Force (IETF). Questo protocollo è stato adottato su larga scala ed è il successore più rapido ed efficiente del classico protocollo HTTP. La vulnerabilità è quindi rilevante per “ogni moderno web server”, come sottolineato da Lucas Pardue e Julien Desgats di Cloudflare.
Perché è così Difficile da Risolvere?
A differenza di un bug in un software specifico, che può essere corretto da una singola entità, una vulnerabilità in un protocollo richiede un approccio molto più diffuso per essere mitigata. Ogni sito web implementa la specifica a modo suo, e quindi ogni organizzazione o individuo deve lavorare alle proprie protezioni.
Open Source come Vantaggio
Dan Lorenc, esperto di software open source, suggerisce che la disponibilità di codice sorgente aperto è un vantaggio in situazioni come questa. Molti server web hanno probabilmente copiato la loro implementazione HTTP/2 da un’altra fonte, facilitando così la diffusione di patch di sicurezza.
Cosa Dovrebbero Fare le Aziende?
Per le aziende focalizzate sulle web performance, come noi, è cruciale rimanere aggiornati su queste minacce emergenti e implementare le patch di sicurezza necessarie il prima possibile. È fondamentale consultare le risorse ufficiali per le ultime patch e applicarle ai propri server web. Tuttavia, la piena adozione di queste patch richiederà anni, e alcuni servizi che hanno implementato HTTP/2 da zero potrebbero rimanere vulnerabili a lungo termine.
Conclusione
Anche se gli attacchi DDoS recenti sono stati respinti con successo, hanno svelato l’esistenza di una vulnerabilità del protocollo che ora deve essere affrontata su scala globale. È un promemoria potente di quanto sia cruciale mantenere un approccio proattivo alla sicurezza informatica e alla protezione dei propri asset digitali.
Per ulteriori informazioni su come proteggere la vostra infrastruttura, non esitate a contattarci o a consultare le nostre altre risorse sul blog, dove discutiamo di temi come sistemistica Linux, MySQL, Database, Cloud AWS e ottimizzazione delle performance.
