A Cloudflare, Inc. tornou público que ajudou a liderar a divulgação de uma nova vulnerabilidade de dia zero, apelidada de “HTTP/2 Rapid Reset”. Essa vulnerabilidade global dá aos invasores a capacidade de gerar ataques maiores do que qualquer coisa que a Internet já tenha visto antes. Para ajudar a mitigar o impacto dessa nova ameaça, a Cloudflare desenvolveu uma tecnologia criada especificamente para bloquear automaticamente qualquer ataque que utilize o Rapid Reset para seus clientes.
A Cloudflare mitigou com sucesso esses problemas e interrompeu possíveis abusos para todos os clientes, ao mesmo tempo em que deu início a um processo de divulgação responsável com dois outros grandes provedores de infraestrutura, para estender as mitigações dessa vulnerabilidade a uma grande porcentagem da Internet antes de divulgar sua existência ao público.
“A mitigação bem-sucedida dessa ameaça para cada organização de infraestrutura crítica, cliente e para a Internet em geral é a força vital do que a Cloudflare representa. Somos uma das únicas empresas equipadas para identificar e lidar com ameaças dessa magnitude, na velocidade necessária para manter a integridade da Internet”, disse Matthew Prince, CEO da Cloudflare.
“E, embora esse ataque DDoS e essa vulnerabilidade possam estar em uma liga própria, sempre haverá outros ataques de dia zero, táticas de atores de ameaças em evolução e novos ataques e técnicas inovadores – a preparação e a resposta contínuas a eles são fundamentais para nossa missão de ajudar a construir uma Internet melhor.”
Desconstruindo a reinicialização rápida do HTTP/2
No final de agosto de 2023, a Cloudflare descobriu uma vulnerabilidade de dia zero, desenvolvida por um agente de ameaças desconhecido. A vulnerabilidade explora o protocolo HTTP/2 padrão – uma peça fundamental para o funcionamento da Internet e da maioria dos sites. O HTTP/2 é responsável pela forma como os navegadores interagem com um site, permitindo que eles “solicitem” a visualização de itens como imagens e texto rapidamente e de uma só vez, independentemente da complexidade do site.
Esse novo ataque funciona fazendo centenas de milhares de “solicitações” e cancelando-as imediatamente. Ao automatizar esse padrão de “solicitação, cancelamento, solicitação, cancelamento” em escala, os agentes de ameaças sobrecarregam os sites e conseguem deixar off-line tudo o que usa HTTP/2.
O “Rapid Reset” fornece aos agentes de ameaças uma nova e poderosa maneira de atacar as vítimas em toda a Internet em uma ordem de magnitude maior do que qualquer coisa que a Internet já tenha visto antes. O HTTP/2 é a base de cerca de 60% de todos os aplicativos da Web e determina a velocidade e a qualidade de como os usuários veem e interagem com os sites.
Com base nos dados da Cloudflare, vários ataques que utilizaram o Rapid Reset foram quase três vezes maiores do que o maior ataque DDoS da história da Internet. No auge dessa campanha de DDoS, a Cloudflare registrou e gerenciou mais de 201 milhões de solicitações por segundo (Mrps), bem como a mitigação de milhares de ataques adicionais que se seguiram.
Como a Cloudflare frustrou o ataque com seus pares do setor
Os agentes de ameaças que possuem métodos de ataque que quebram recordes têm extrema dificuldade em testar e compreender sua eficácia, devido à falta de infraestrutura para absorver os ataques. Por esse motivo, eles geralmente testam contra provedores como a Cloudflare para entender melhor o desempenho de seus ataques.
“Embora ataques em grande escala, como os que aproveitam vulnerabilidades como o Rapid Reset, possam ser complexos e difíceis de mitigar, eles nos proporcionam uma visibilidade sem precedentes de novas técnicas de atores de ameaças no início do desenvolvimento”, disse Grant Bourzikas, CSO da Cloudflare. Embora não exista uma “divulgação perfeita”, com tempo de inatividade e solavancos ao longo do caminho, frustrar ataques e responder a incidentes de ruptura exige que as organizações e as equipes de segurança vivam com a mentalidade de “assumir a violação” que a equipe da Cloudflare promove. Em última análise, isso nos permite ser um parceiro orgulhoso que ajuda a tornar a Internet segura”.
