La seguridad cibernética se ha convertido en una preocupación primordial para profesionales de todos los sectores y también para los administradores de sistemas, desarrolladores y equipos de seguridad. La introducción del protocolo HTTP/2 en 2015 marcó un paso importante en la evolución de la web, sin embargo, esta nueva versión del protocolo también tiene vulnerabilidades y la última descubierta permite ataques de denegación de servicio.

A principios de esta semana, un grupo de investigadores anunció el descubrimiento de una nueva explotación relacionada con HTTP/2, que podría utilizarse para realizar ataques de denegación de servicio (DoS) contra objetivos vulnerables. Según un informe de The Hacker News, el investigador de seguridad Bartek Nowotarski informó sobre este problema al Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas (CERT) de Carnegie Mellon el 25 de enero.

Esta vulnerabilidad, conocida como «HTTP/2 CONTINUATION Flood», explota las implementaciones de HTTP/2 mal configuradas que no limitan o desinfectan adecuadamente los marcos CONTINUATION en el flujo de datos de las solicitudes.

El descubrimiento de esta vulnerabilidad subraya la importancia de la vigilancia continua y la adaptabilidad en el ámbito de la seguridad cibernética. A medida que avanzan las tecnologías web, también lo hacen las técnicas y herramientas a disposición de los actores maliciosos. La colaboración entre investigadores de seguridad, desarrolladores y administradores de sistemas es fundamental para identificar, reportar y mitigar vulnerabilidades de manera efectiva, garantizando así la integridad y seguridad de las infraestructuras digitales en este entorno en constante evolución.

¿Qué son los marcos CONTINUATION?

Los marcos CONTINUATION son un método utilizado para continuar una secuencia de fragmentos de bloque de cabecera, permitiendo que los bloques de cabecera se dividan en varios marcos. Un bloque de cabecera previamente fragmentado se considera completado cuando el servidor recibe una bandera END_HEADERS específica, indicando que no hay más marcos CONTINUATION u otros marcos.

Las implementaciones de HTTP/2 son vulnerables a ataques cuando la implementación no limita la cantidad de marcos CONTINUATION que se pueden enviar dentro de un solo flujo de datos. Si un atacante inicia una solicitud HTTP a un servidor vulnerable sin banderas END_HEADERS establecidas, la solicitud permitiría al atacante enviar un flujo continuo de marcos CONTINUATION a ese servidor, eventualmente causando un fallo por falta de memoria y resultando en un ataque de denegación de servicio (DoS) exitoso.

CERT también citó otra variación de la vulnerabilidad que utiliza marcos CONTINUATION codificados en Huffman de HPACK para causar agotamiento de recursos de CPU, resultando también en un ataque de DoS exitoso. Según Nowotarski, una única máquina o incluso una sola conexión tiene el potencial de interrumpir la disponibilidad del servidor, con consecuencias que van desde fallos hasta degradación del rendimiento.

A diferencia de un ataque de denegación de servicio distribuido (DDoS) que crea botnets a gran escala para abrumar redes a través de un volumen masivo de tráfico, un ataque DoS puede crear tráfico web falso usando un solo dispositivo, inundando una conexión de protocolo de control de transmisión (TCP) con solicitudes diseñadas para agotar los recursos de un servidor objetivo.

Registros de vulnerabilidad y medidas de mitigación

Varios registros de Vulnerabilidad y Exposiciones Comunes (CVE) han sido creados en relación con la nueva vulnerabilidad. Estos incluyen:

  • CVE-2024-2653
  • CVE-2024-27316
  • CVE-2024-24549
  • CVE-2024-31309
  • CVE-2024-27919
  • CVE-2024-30255
  • CVE-2023-45288
  • CVE-2024-28182
  • CVE-2024-27983
  • CVE-2024-2758

HTTP/2 es actualmente utilizado por aproximadamente el 35.5% de todos los sitios web, según una encuesta de w3techs.com. Los administradores de servidores afectados deben actualizar cualquier software identificado en los CVEs a la última versión para mitigar las amenazas CONTINUATION. Si no hay una solución disponible, se les aconseja considerar deshabilitar temporalmente HTTP/2 en los servidores impactados.

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre