Google ha bloccato il più grande attacco DDoS (Distributed Denial of Service) mai registrato, che ha utilizzato una serie di nuove tecniche per tentare di interrompere siti web e servizi Internet. Questo attacco era sette volte e mezzo più grande del precedente attacco record DDoS bloccato da Google nel mese di agosto del 2022.
L’attacco è avvenuto lo scorso agosto, ha colpito diverse società di infrastrutture Internet e ha raggiunto un picco di 398 milioni di richieste al secondo (rps), nettamente superiori all’attacco DDoS registrato nel 2022 che aveva raggiunto il picco di 46 milioni di rps. Per avere un’idea della scala di quest’ultimo, l’attacco ha generato più richieste in due minuti rispetto al numero totale di visualizzazioni di articoli su Wikipedia durante l’intero mese di settembre 2023.
Gli attacchi DDoS sono un tipo di attacco informatico in cui gli aggressori cercano di sovraccaricare i server obiettivo con enormi quantità di traffico Internet, rendendo così i siti web e i servizi Internet irraggiungibili. Questi attacchi possono avere impatti di vasta portata sulle organizzazioni vittime, inclusa la perdita di affari e l’indisponibilità di applicazioni critiche, con conseguenze in termini di tempo e denaro necessari per la ripresa.
L’attacco in questione ha sfruttato una nuova tecnica chiamata “Rapid Reset,” che sfrutta lo stream multiplexing, una caratteristica del protocollo HTTP/2 ampiamente utilizzato. Google è riuscito a mitigare l’attacco presso l’edge della sua rete, grazie agli investimenti significativi nella capacità di edge, garantendo così la continuità dei suoi servizi e quelli dei suoi clienti.
Google ha collaborato con altri fornitori di servizi cloud e manutentori di software per sviluppare patch e altre tecniche di mitigazione, che sono state utilizzate da numerosi attori del settore per proteggere le proprie infrastrutture. La suscettibilità collettiva a questo attacco è stata designata come CVE-2023-44487, ed è stata considerata una vulnerabilità di gravità elevata con un punteggio CVSS di 7,5 su 10.
Qualsiasi azienda o individuo che fornisce un carico di lavoro basato su HTTP su Internet potrebbe essere a rischio a causa di questo attacco. Le applicazioni Web, i servizi e le API su un server o proxy in grado di comunicare utilizzando il protocollo HTTP/2 potrebbero essere vulnerabili. È importante che le organizzazioni verifichino che tutti i server che supportano HTTP/2 non siano vulnerabili o applicare le patch del fornitore per CVE-2023-44487 per limitare l’impatto di questo vettore di attacco. Se si gestisce o utilizza un server compatibile con HTTP/2, è consigliabile applicare immediatamente una patch del relativo fornitore non appena disponibile.