Nuevas vulnerabilidades en HTTP/2 permiten ataques DoS en servidores no parcheados
Siempre que navegamos por la red podemos toparnos con diferentes problemas de seguridad que pongan en juego nuestros dispositivos. En este artículo nos hacemos eco de nuevas vulnerabilidades que han encontrado en HTTP/2 que exponen a servidores que no estén parcheados a ataques DoS. Explicamos en qué consiste este tipo de problemas de seguridad.
Nuevas vulnerabilidades en HTTP/2 comprometen servidores no parcheados
En caso de que un posible atacante llegara a explotar estas vulnerabilidades en HTTP/2 podría utilizar recursos que provocarían la denegación de servicios (o DoS) en estos servidores. Eso sí, como hemos mencionado anteriormente afecta a solo aquellos que estén sin parchear. De ahí la importancia de mantener siempre nuestros sistemas y dispositivos perfectamente actualizados.
Hay que mencionar que hoy en día el 40% de todos los servidores web en el mundo admiten la comunicación HTTP/2. Esto significa que son muchos los que pueden ser vulnerables a este problema si no han sido actualizados correctamente.
En total son 8 vulnerabilidades las que afectan a HTTP/2 y que han sido descubiertas. Todas ellas provocarían esta condición que mencionamos: denegación de servicio. Esto ha provocado que muchos fabricantes decidan parchear rápidamente sus servidores para evitar ser víctimas de este problema. Sin embargo son todavía bastantes los que no han incluido actualizaciones y siguen siendo vulnerables.
Estas vulnerabilidades han sido descubiertas por investigadores de seguridad de Netflix y de Google. Concretamente 7 de las 8 vulnerabilidades las ha descubierto Jonathan Looney, de Netflix. La restante ha sido descubierta por Piotr Sikora.
Los investigadores de seguridad indican que depende de cómo el servidor gestione las colas el cliente podría forzarlo a utilizar memoria y CPU excesivo y de esta forma provocar el problema. Esto como sabemos se traduce en una denegación de servicio. Básicamente bloquean las páginas webs y hacen que otros usuarios no puedan acceder. Puede ocurrir que directamente esa web no funcione en absoluto o que lo haga pero de una manera muy lenta.
Han lanzado una lista de proveedores que pueden ser vulnerables a este problema. Podemos destacar Amazon, Apache, Facebook, Microsoft o Apple. Como hemos indicado muchos de ellos ya han resuelto este problema. Podéis ver nuestro artículo donde hablamos de cómo saber si una web usa HTTP3.
La importancia de mantener los sistemas y dispositivos actualizados
Estamos ante un ejemplo más de la importancia de mantener siempre los sistemas y equipos con todos los parches de seguridad. Son muchas las ocasiones en las que pueden surgir vulnerabilidades. Problemas de seguridad que comprometen seriamente el buen funcionamiento de nuestros sistemas y que ponen en riesgo los equipos. Sin embargo los propios fabricantes lanzan actualizaciones y mejoras que pueden evitar esto.
Por tanto desde RedesZone recomendamos siempre mantener nuestros sistemas actualizados correctamente. Hay que instalar todos los parches de seguridad que tengamos a nuestra disposición. Por un lado por eso, para mejorar la seguridad y evitar que posibles intrusos puedan explotar esos fallos para acceder a los sistemas. Pero por otra parte también para tener las últimas mejoras en rendimiento que puedan hacer que nuestros equipos funcionen mejor. Una manera de tener siempre los mejores resultados posibles.