En mayo de 2015 se lanzó HTTP/2, la última versión del protocolo de red creado con el objetivo de mejorar la velocidad de carga de las páginas web y su seguridad. En agosto de 2016 ya se dieron a conocer cuatro vulnerabilidades de esta nueva versión del protocolo, fallos que podrían permitir a un atacante ralentizar los servidores web e incluso bloquearlos.

Ahora se ha descubierto que varias implementaciones del protocolo HTTP/2 son vulnerables a múltiples fallos de seguridad que afectan al software de los servidores web más populares, incluyendo Apache, Microsoft’s IIS y NGINX.

Hoy en día, cientos de millones de webs, en concreto el 40% de todos los servidores web están usando ya este protocolo HTTP/2.

Las vulnerabilidades pueden ser explotadas para lanzar contra millones de servicios online y páginas web alojadas en servidores web con dicha implementación vulnerable de HTTP/2, es decir, los que no han sido debidamente parcheados.

Estas ocho vulnerabilidades han sido descubiertas por dos investigadores, Jonathan Looney de Netflix y Piotr Sikora de Google, según informan en The Hacker News. 

El escenario de ataque que se podría plantear es que un cliente malicioso haga una petición a uno de estos servidores vulnerables para hacer algo que genere una respuesta, pero entonces el cliente rechaza leer la respuesta, forzándole a consumir excesiva memoria y CPU mientras que procesa las peticiones.

Por otro lado, es importante destacar que las vulnerabilidades solo pueden ser usadas para provocar un DoS (ataque de denegación de servicio) y no permiten a los atacantes comprometer el servidor o los datos alojados en esos servidores vulnerables.

DDoS, DoS, bot y botnet: los términos que rodean al ciberataque que nunca pasa de moda. ¿En qué consisten?

Ya están disponibles los parches de seguridad

Los investigadores ya han dado cuenta de los fallos de seguridad a los fabricantes, quienes ya han lanzado sus notificaciones y parches de seguridad correspondientes. Es decir, los afectados por esta vulnerabilidad ya deberían haber sido notificados, y los parches de seguridad implementados.

Este es un ejemplo más que nos muestra la importancia de estar alerta, contar con herramientas adecuadas y mantener los sistemas actualizados.

Deja un comentario