El ataque de DDoS se produce cuando un grupo de usuarios o automatismos atacan un servidor o un ordenador desde muchos equipos a la vez. Debido a su naturaleza de flujo de datos, el sistema colapsa y deja de funcionar porque no tiene capacidad para procesar las solicitudes entrantes.
Este tipo de ataques pueden tener un amplio alcance en las organizaciones víctimas de los ciberdelincuentes, como puede ser la pérdida de información o la interrupción de aplicaciones de misión crítica, aquellas que deben funcionar constantemente para que la empresa funcione.
Gigantes de la tecnología como Google, Microsoft, Amazon y Cloudflare se han unido para frenar el impacto del considerado mayor ataque DDoS registrado hasta el momento, que se rastrea como CVE-2023-44487 y que se ha calificado de gravedad alta con una puntuación CVSS de 7,5 sobre 10, según métricas de la base de datos nacional de vulnerabilidades del Gobierno estadounidense (NVD).
Este ataque DDoS, destinado a la Capa 7 o capa de aplicación del protocolo, se basaba en una técnica de reinicio rápido de HTTP/2 centrada en la multiplexación, esto es, en el envío de diferentes señales a través de un solo medio de transmisión a fin de colapsar el sistema.
Más concretamente, los ciberdelincuentes aprovecharon una vulnerabilidad 'zero day' en este protocolo para emplear la técnica de Reinicio rápido con la que realizaban miles de solicitudes de forma simultánea y las cancelaban inmediatamente. Así, saturaban los sistemas y bloqueaban el acceso a las páginas web o aplicaciones objetivo.
Cada una de las compañías afectadas por este ataque DDoS masivo ha explicado cómo ha afrontado esta oleada de DDoS, que se detectó a finales del pasado mes de agosto, así como las medidas que deberían implementar sus clientes para evitar daños en sus infraestructuras.
Google, por su parte, ha reconocido en su blog que en los últimos años su equipo de respuesta DDoS ha visto cómo ha aumentado «exponencialmente» el número de este tipo de ataques, pero que fue en agosto cuando determinó que estaba ante el mayor de los registrados hasta el momento.
Este, que alcanzó un máximo de 398 millones de solicitudes por segundo (rps) en sus sistemas -siete veces más que cualquier ataque de este tipo registrado antes-, también utilizaba nuevas técnicas para interrumpir sitios web y otros servicios de internet.
La firma estaounidense ha comentado que aplicó estrategias de mitigación adicionales y coordinó respuestas con otros proveedores de la nube y sistemas de mantenimiento de 'software' para anular las acciones.
Entonces, compartió toda la información que tenía sobre el ataque con otras compañías y explicó las metodologías en tiempo real mientras se estaban produciendo estos ataques. Con ello, actualizó sus servidores proxy y sus sistemas de defensa de DDoS.
Google también ha insistido en que cualquier servicio o aplicación que admita HTTP/2 es susceptible de ser atacado y que se debe aplicar un parche desarrollado por los distintos proveedores cuando esté disponible.
Con ello, ha recordado que este ataque continúa activo y que dispone de servicios como Cloud Armor o Application Load Balancer para proteger su 'software' y las aplicaciones susceptibles de estos ataques.
Clouflare, aws y microsoft, también víctimas del ataque
Cloudflare, por su parte, ha comentado que el pico de esta campaña registró más de 201 millones de solicitudes por segundo. Así, ha señalado que abordó esta vulnerabilidad con una tecnología diseñada específicamente para bloquear de forma automática cualquier ataque.
Desde Amazon han reconocido que entre el 28 y el 29 de agosto de 2023, Amazon Web Services alcanzó un máximo de más de 155 millones de solicitudes por segundo. Para mitigar su alcance, empleó servicios como Amazon CloudFront y AWS Shield, que "pudieron proteger la disponibilidad de sus aplicaciones".
Finalmente, Microsoft ha matizado que sus socios en la industria le notificaron este problema en septiembre de 2023, momento en que «abrió rápidamente una investigación» y psoteriormente comenzó a trabajar con ellos para dar solución al problema.
Creó mitigaciones para IIS (HTTP.sys), .NET (Krestel) y Windows, que forman parte de las actualizaciones de seguridad de Microsoft publicadas este martes. Con ello, ha aclarado que si bien este DDos puede afectar a la disponibilidad del servicio, «por sí solo no compromete los datos de los clientes» y que hasta ahora no ha visto evidencia de que los datos de sus usuarios se hayan visto comprometidos.
Para proteger los servicios de este ataque, Microsoft recomienda utilizar aplicaciones web actualizadas con los parches de seguridad que mitigan CVE-2023-44487, así como restringir el acceso a internet a sus aplicaciones web siempre que sea posible y habilitar herramientas como Azure Web Application Firewall (WAF).
Sin comentarios
Para comentar es necesario estar registrado en Menorca - Es diari
De momento no hay comentarios.