HTTP/2 tiene vulnerabilidades que hacen peligrar a millones de páginas
HTTP/2, como bien sabrán los profesionales del sector, es un protocolo lanzado hace unos meses y que mejora el original HTTP. Entre otras características, elimina los fallos existentes y mejora el rendimiento del primer lanzamiento. No obstante, parece que lo que se creía perfecto no lo es tanto. El protocolo permite una mayor cantidad de mensajes en cuanto al intercambio de los mismos entre ordenador y servidores, permitiendo que podamos navegar en más páginas al mismo tiempo, además de aumentar la velocidad de carga. No obstante, tendríamos que andar con cuidado.
Investigadores de seguridad han descubierto que el protocolo HTTP/2 tiene un total de cuatro fallos importantes que pueden permitir a un atacante tanto ralentizar los servidores web como hacer que caigan por completo. Tras realizar algunos análisis, comprobaron vulnerabilidades que ya eran conocidas y explotadas en HTTP/1.X. Debemos tener en cuenta que el protocolo está en adopción por parte de muchas páginas desde hace meses, por lo que las mismas podrían estar en peligro.
Los fallos permiten realizar ataques de lectura lenta, similares a los ataques Slowloris DDoS, además de distribuir denegaciones de servicio con el fin de que la respuesta del servidor sea más lenta. Debemos recordar que los ataques de denegación de servicio evitan, colapsando los servidores, que los servicios puedan funcionar correctamente.
Mencionar también los ataques HPACK bomb (que permite que el atacante envíe mensajes que aparecentemente son pequeños y sin peligro, pero que se convierten en grandes), dependency cycle attack (el cual aprovecha los mecanismos de control de flujo de HTTP/2) y el stream multiplexing abuse (que permite sacar provecho a un fallo en la funcionalidad de multiplexación con el fin de bloquear el servidor).
Actualmente, más de 85 millones de páginas utilizan el protocolo HTTP/2, por lo que son vulnerables a los ataques que hemos mencionado. En todo caso, se espera que los encargados del paquete puedan publicar alguna actualización o parche que evite futuros problemas, tanto en funcionamiento como en seguridad.
Vía | Help Net Security
Foto | Wikimedia Commons – IETF HTTP Working Group (HTTPbis)
Comentarios cerrados