Vulnerabilidade no protocolo HTTP/2 pode ser ameaça de longo prazo para a web
Falha permitiu uma série de ataques massivos de DDoS em servidores do Google e Amazon e não tem solução rápida
Recentemente, gigantes da tecnologia como Google, Amazon, Microsoft e Cloudflare revelaram enfrentar uma série de ataques de negação de serviço distribuída (DDoS) maciços em sua infraestrutura de nuvem durante agosto e setembro. Esses ataques DDoS, nos quais hackers tentam sobrecarregar servidores com tráfego malicioso, são uma ameaça perene na internet. Porém, a singularidade dos ataques recentes reside no fato de que os invasores exploraram uma vulnerabilidade no protocolo web HTTP/2, denominada HTTP/2 Rapid Reset. Essa descoberta desencadeia um alerta, uma vez que a erradicação desses ataques exigirá a implementação de correções em servidores web em todo o mundo.
Os ataques DDoS são uma das ameaças mais comuns na internet. Eles buscam sobrecarregar servidores e serviços com tráfego malicioso, com o intuito de torná-los inacessíveis para os usuários legítimos. A cada ano, hackers aprimoram suas táticas, tornando esses ataques cada vez mais poderosos e eficazes.
O que é a HTTP/2 Rapid Reset?
A vulnerabilidade “HTTP/2 Rapid Reset” é uma descoberta que abala a segurança da web. Esta vulnerabilidade, associada ao protocolo HTTP/2, permite que invasores realizem ataques de negação de serviço, porém, não possibilita a invasão de servidores ou a extração de dados. Embora não seja uma ameaça à segurança dos dados, a disponibilidade de serviços online é crucial, desde infraestrutura crítica até informações vitais.
As gigantes da tecnologia Google, Amazon, Microsoft e Cloudflare estão trabalhando arduamente para conter essa ameaça. Segundo Emil Kiner e Tim April, do Google Cloud, os ataques DDoS têm amplos impactos nas organizações vítimas, incluindo perda de negócios e a indisponibilidade de aplicativos essenciais. A recuperação após um ataque DDoS pode se estender muito além do término do ataque, ampliando ainda mais o impacto.
Origem da vulnerabilidade e desafios de correção
O “HTTP/2 Rapid Reset” não está relacionado a um software específico, mas à especificação do protocolo de rede HTTP/2, amplamente utilizado para o carregamento de páginas web. Desenvolvido pelo Internet Engineering Task Force (IETF), o HTTP/2 existe há cerca de oito anos e é uma evolução mais rápida e eficiente do protocolo HTTP tradicional. Essa tecnologia é particularmente eficaz em dispositivos móveis e economiza largura de banda, tornando-a amplamente adotada. Enquanto o IETF trabalha no desenvolvimento do HTTP/3, a questão da vulnerabilidade no HTTP/2 continua preocupante.
O desafio da correção reside na natureza descentralizada da web. Diferentemente de vulnerabilidades em sistemas operacionais como o Windows ou navegadores como o Safari, uma vulnerabilidade em um protocolo não pode ser solucionada por uma única entidade central. Cada site implementa o protocolo de acordo com suas próprias especificidades. Portanto, enquanto os principais provedores de serviços de nuvem e defesa contra DDoS estão desenvolvendo soluções, organizações e indivíduos que administram seus próprios servidores web precisam criar suas próprias proteções.
Dan Lorenc, especialista em código aberto e CEO da empresa de segurança ChainGuard, destaca a importância da disponibilidade de código aberto e do uso comum de código já existente. Muitos servidores web provavelmente copiaram suas implementações do HTTP/2 de fontes existentes, em vez de criar suas próprias do zero. Isso permite que as correções sejam desenvolvidas e compartilhadas entre a comunidade, acelerando a mitigação da vulnerabilidade.
Longo caminho pela frente
A implementação dessas correções levará anos, e ainda existem serviços que criaram suas próprias implementações do HTTP/2 do zero, sem acesso a correções prontas. Portanto, a ameaça persistirá em algumas áreas da web, mesmo após os esforços de mitigação.
A preocupação é ainda mais acentuada pelo fato de que essa vulnerabilidade foi explorada ativamente antes de ser identificada. Ela tem o potencial de afetar serviços críticos, como tecnologia operacional e controle industrial, o que aumenta ainda mais a urgência de resolver o problema.
Uma descoberta valiosa
Embora os recentes ataques DDoS contra gigantes da tecnologia tenham despertado a atenção devido à sua escala, as empresas conseguiram repelir os ataques sem causar danos duradouros. No entanto, a mera execução desses ataques revelou a existência da vulnerabilidade do protocolo e como ela poderia ser explorada, um fenômeno conhecido na comunidade de segurança como “burning a zero day”. Embora o processo de correção seja demorado, e alguns servidores web permaneçam vulneráveis a longo prazo, o fato de que os atacantes expuseram essa vulnerabilidade torna a internet mais segura do que seria se tivessem mantido essa informação em segredo.
Essa vulnerabilidade é uma descoberta valiosa, uma vez que poderia ter sido explorada com intenções maliciosas, causando danos significativos. No entanto, o mistério que persiste é por que os responsáveis pela descoberta decidiram torná-la pública em vez de explorá-la para ganho pessoal.
Em resumo, a vulnerabilidade no protocolo HTTP/2 representa um desafio significativo para a segurança da web e a disponibilidade de serviços online. Embora as correções estejam em andamento, a complexidade da web descentralizada significa que a ameaça pode persistir em alguns casos. No entanto, o setor de tecnologia está atento, e esforços contínuos visam proteger a infraestrutura digital e os serviços críticos contra essa ameaça iminente.