En mayo de 2015 se lanzó HTTP/2, la última versión del protocolo de red creado con el objetivo de mejorar la velocidad de carga de las páginas web y su seguridad. En agosto de 2016 ya se dieron a conocer cuatro vulnerabilidades de esta nueva versión del protocolo, fallos que podrían permitir a un atacante ralentizar los servidores web e incluso bloquearlos.
Ahora se ha descubierto que varias implementaciones del protocolo HTTP/2 son vulnerables a múltiples fallos de seguridad que afectan al software de los servidores web más populares, incluyendo Apache, Microsoft’s IIS y NGINX.
Hoy en día, cientos de millones de webs, en concreto el 40% de todos los servidores web están usando ya este protocolo HTTP/2.
Las vulnerabilidades pueden ser explotadas para lanzar contra millones de servicios online y páginas web alojadas en servidores web con dicha implementación vulnerable de HTTP/2, es decir, los que no han sido debidamente parcheados.
Estas ocho vulnerabilidades han sido descubiertas por dos investigadores, Jonathan Looney de Netflix y Piotr Sikora de Google, según informan en The Hacker News.
El escenario de ataque que se podría plantear es que un cliente malicioso haga una petición a uno de estos servidores vulnerables para hacer algo que genere una respuesta, pero entonces el cliente rechaza leer la respuesta, forzándole a consumir excesiva memoria y CPU mientras que procesa las peticiones.
Por otro lado, es importante destacar que las vulnerabilidades solo pueden ser usadas para provocar un DoS (ataque de denegación de servicio) y no permiten a los atacantes comprometer el servidor o los datos alojados en esos servidores vulnerables.
Ya están disponibles los parches de seguridad
Los investigadores ya han dado cuenta de los fallos de seguridad a los fabricantes, quienes ya han lanzado sus notificaciones y parches de seguridad correspondientes. Es decir, los afectados por esta vulnerabilidad ya deberían haber sido notificados, y los parches de seguridad implementados.
Este es un ejemplo más que nos muestra la importancia de estar alerta, contar con herramientas adecuadas y mantener los sistemas actualizados.