4 ago. 2016

Descubren cuatro vulnerabilidades en HTTP/2

HTTP es un protocolo que lleva más de 15 años sin actualizarse y que ha dado lugar a su evolución con la aparición de HTTP/2. Este nuevo protocolo, que permite un intercambio mayor de mensajes entre nuestro ordenador y los servidores, lo que hace que podamos visitar más sitio al mismo tiempo y que aumente la velocidad de carga de los mismos.

Sin embargo, Imperva dio a conocer en Black Hat 2016, un informe que documenta cuatro vulnerabilidades [PDF] en esta nueva versión del protocolo. Los fallos pueden permitir a un atacante ralentizar los servidores web o incluso hacer que se caigan por completo. Los investigadores realizaron análisis en las implementaciones del protocolo y han descubierto algunas vulnerabilidades que ya eran conocidas y explotadas en HTTP/1.x.
El hecho de que este protocolo esté en plena adopción por muchos sitios web desde el año pasado, hace que el descubrimiento de estas vulnerabilidades sean preocupants ya que pueden ser aprovechados por algún atacante para tirar abajo determinados sitios web que hace uso del protocolo.
  • Slow Read, algo similar a un ataque Slowloris DDoS, distribuyendo denegaciones de servicio para que la respuesta del servidor a un sitio web sea lenta debido al colapso que se produce que un envío masivo de peticiones al servidor.
  • HPACK Bomb, un ataque de compresión de capa por el que el atacante envía mensajes que aparentemente parecen pequeños e inocentes y que se convierten en una gran cantidad de gigabytes de datos en el servidor que terminan consumiendo los recursos del servidor para dejarlo totalmente fuera de servicio.
  • Dependency Cycle Attack, un ataque que se aprovecha de los mecanismos de control de flujo del protocolo HTTP/2 para la optimización de la red y por el que las solicitudes al servidor llegan en forma de bucle infinito.
  • Stream Multiplexing abuse, un método por el que el atacante saca provecho al fallo en la forma en que los servidores implementan la funcionalidad de multiplexación para bloquear el servidor y por lo tanto, provoca una denegación de servicio a los usuarios legítimos.
Sin duda, cuatro problemas graves que han sido detectados en un momento en el que el protocolo HTTP/2 sigue en plena expansión, ya que, de acuerdo con W3Techs, en menos de un año ya son unos 85 millones de sitios web los que hacen uso de este protocolo en todo el mundo y que son vulnerables a este tipo de ataques.

Fuente: ADSLZone

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!