Martedì Amazon Web Services (AWS), Cloudflare e Google hanno dichiarato di aver preso provvedimenti per mitigare gli attacchi DDoS (Distributed Denial of Service) da record che si basavano su una nuova tecnica chiamata HTTP/2 Rapid Reset. Gli attacchi di livello 7 sono stati rilevati a fine agosto 2023, hanno dichiarato le aziende in una comunicazione coordinata. La suscettibilità cumulativa a questo attacco è stata registrata come CVE-2023-44487 e porta un punteggio CVSS di 7,5 su un massimo di 10. Mentre gli attacchi rivolti all’infrastruttura cloud di Google hanno raggiunto un picco di 398 milioni di richieste al secondo (RPS), quelli rivolti ad AWS e Cloudflare hanno superato rispettivamente un volume di 155 milioni e 201 milioni di richieste al secondo (RPS).

HTTP/2 Rapid Reset si riferisce a una falla zero-day nel protocollo HTTP/2 che può essere sfruttata per effettuare attacchi DDoS. Una caratteristica significativa di HTTP/2 è il multiplexing delle richieste su una singola connessione TCP, che si manifesta sotto forma di flussi simultanei. Inoltre, un client che desidera interrompere una richiesta può emettere un frame RST_STREAM per interrompere lo scambio di dati. L’attacco Rapid Reset sfrutta questo metodo per inviare e annullare richieste in rapida successione, aggirando così il limite massimo di flussi contemporanei del server e sovraccaricando il server senza raggiungere la soglia configurata.