Detectan errores graves en HTTP/2 que hacen vulnerables a más de 85 millones de sitios web

Con la aparición de Internet, se vio la necesidad de establecer un protocolo de comunicación sencilla entre sistemas distribuidos que dio lugar a HTTP. Un protocolo que lleva más de 15 años sin actualizarse y que ha dado lugar a su evolución con la aparición de HTTP/2. Este nuevo protocolo, que permite un intercambio mayor de mensajes entre nuestro ordenador y los servidores, lo que hace que podamos visitar más sitio al mismo tiempo y que aumente la velocidad de carga de los mismos.

Sin embargo, en pleno proceso de expansión, investigadores de seguridad han descubierto al menos cuatro fallos importantes en el protocolo HTTP/2 que pueden permitir a un atacante ralentizar los servidores web o incluso hacer que se caigan por completo. Dichos investigadores realizaron análisis en las implementaciones del protocolo y han descubierto algunas vulnerabilidades que ya eran conocidas y explotadas en HTTP/1.x.

El hecho de que este protocolo esté en plena adopción por muchos sitios web desde el año pasado, hace que el descubrimiento de estas vulnerabilidades sean preocupants ya que pueden ser aprovechados por algún atacante para tirar abajo determinados sitios web que hace uso del protocolo.

Estos cuatro fallos pueden permitir que sobre un sitio se realicen ataques de lectura lenta o slow read, es decir, algo similar a un ataque Slowloris DDoS, distribuyendo denegaciones de servicio para que la respuesta del servidor a un sitio web sea lenta debido al colapso que se produce que un envío masivo de peticiones al servidor.

HPACK bomb, un ataque de compresión de capa por el que el atacante envía mensajes que aparentemente parecen pequeños e inocentes y que se convierten en una gran cantidad de gigabytes de datos en el servidor que terminan consumiendo los recursos del servidor para dejarlo totalmente fuera de servicio.

Dependency cycle attack, un ataque que se aprovecha de los mecanismos de control de flujo del protocolo HTTP/2 para la optimización de la red y por el que las solicitudes al servidor llegan en forma de bucle infinito.

Stream multiplexing abuse, un método por el que el atacante saca provecho al fallo en la forma en que los servidores implementan la funcionalidad de multiplexación para bloquear el servidor y por lo tanto, provoca una denegación de servicio a los usuarios legítimos.

Sin duda, cuatro problemas graves que han sido detectados en un momento en el que el protocolo HTTP/2 sigue en plena expansión, ya que, de acuerdo con W3Techs, en menos de un año ya son unos 85 millones de sitios web los que hacen uso de este protocolo en todo el mundo y que son vulnerables a este tipo de ataques.

Fuente: adslzone

- Todos los logos o imagenes mencionados en esta web son propiedad de sus empresas correspondientes -

Detectan errores graves en HTTP/2 que hacen vulnerables a más de 85 millones de sitios web

Buscador

Redes Sociales

Laboratorio Linux