CVE-2023-44487 - Ataque de restablecimiento rápido HTTP/2
17188
Created On 10/11/23 19:12 PM - Last Modified 10/07/24 16:10 PM
Question
¿Qué es CVE-2023-44487 - Ataque de restablecimiento rápido HTTP/2?
Answer
En los últimos meses (agosto a octubre de 2023), ha surgido una vulnerabilidad de seguridad en el protocolo HTTP/2 conocida como Rapid Reset Attack. Este ataque aprovecha una característica específica del protocolo, lo que permite que un punto de conexión restablezca rápidamente una solicitud mediante el envío de una trama RST_STREAM inmediatamente después de una trama de solicitud.
¿En qué se diferencia HTTP/1.1 de HTTP/2?
- En HTTP/1.1, las solicitudes se procesan una tras otra. El servidor lee una solicitud, la procesa, escribe una respuesta y solo entonces pasa a la siguiente solicitud.
- En HTTP/2, el cliente puede abrir varias secuencias simultáneas en una sola conexión TCP. Cada flujo corresponde a una solicitud HTTP. En teoría, el servidor puede controlar el número máximo de secuencias abiertas simultáneas, pero en la práctica, los clientes pueden abrir varias secuencias por solicitud y el servidor procesa estas solicitudes en paralelo.
¿Cómo funciona el ataque?
El Ataque de Reinicio Rápido funciona explotando esta habilidad. El atacante inicia el ataque abriendo un gran número de flujos simultáneamente, de forma muy parecida a un ataque HTTP/2 típico. Sin embargo, en lugar de esperar una respuesta del servidor o proxy para cada solicitud, el atacante cancela rápidamente cada solicitud inmediatamente después de enviarla.La ventaja clave de este ataque radica en la capacidad de restablecer las transmisiones al instante. Esto permite que un número indefinido de solicitudes estén en vuelo simultáneamente en cada conexión. Al cancelar explícitamente las solicitudes, el atacante nunca supera el límite de secuencias abiertas simultáneas. En consecuencia, el número de solicitudes en vuelo ya no está determinado por el tiempo de ida y vuelta (RTT), sino únicamente por el ancho de banda de red disponible.
Fuente: Google
Como consecuencia del ataque de restablecimiento rápido HTTP/2, puede producirse una denegación de servicio (consumo de recursos del servidor). La metodología de ataque permite la cancelación de numerosos flujos en rápida sucesión, lo que lleva al agotamiento de los recursos en el lado del servidor. Es importante destacar que la conexión HTTP/2 permanece abierta a pesar de la cancelación de las solicitudes.Es crucial que los proveedores y desarrolladores de servicios web sean conscientes de esta vulnerabilidad y tomen las contramedidas necesarias para proteger sus sistemas contra posibles ataques.
Información de cobertura
El 16 de octubre de 2023, Palo Alto Networks lanzó UTID: 40152 y 94441 y una actualización para el decodificador http2. Busque estos identificadores de amenaza en ThreatValut (https://threatvault.paloaltonetworks.com/) para obtener más información sobre las firmas.A continuación, encontrará el enlace a nuestro aviso de productos para obtener más información sobre el impacto en los productos de Palo Alto Networks:
https://security.paloaltonetworks.com/CVE-2023-44487
Additional Information
Enlaces a documentación de apoyo, advertencias u otra información de fondo útil que no sea estrictamente un síntoma, entorno, causa o resolución.
- https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack
- https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
- https://arstechnica.com/security/2023/10/how-ddosers-used-the-http-2-protocol-to-deliver-attacks-of-unprecedented-size/
- https://security.paloaltonetworks.com/CVE-2023-44487
- https://nvd.nist.gov/vuln/detail/CVE-2023-44487