Vulnerabilidad HTTP/2 Bomb Permite DoS Remoto en Servidores Populares
Publicado el
Introducción
Investigadores en ciberseguridad han identificado una nueva vulnerabilidad de denegación de servicio (DoS) que afecta a varios servidores web importantes, incluyendo NGINX, Apache HTTPD, Microsoft IIS, Envoy y Cloudflare Pingora. Esta vulnerabilidad, conocida como HTTP/2 Bomb, ha sido desarrollada utilizando técnicas que combinan una bomba de compresión y un método de tipo Slowloris.
Descripción de la Vulnerabilidad
La vulnerabilidad se encuentra en la configuración predeterminada de HTTP/2 de estos servidores. Según se informa, fue detectada por OpenAI Codex al encadenar dos métodos conocidos. El ataque aprovecha el esquema de compresión de encabezados HPACK, donde un byte transmite una asignación completa de encabezado en el servidor, multiplicándose miles de veces por solicitud.
HPACK es un algoritmo de compresión diseñado para HTTP/2 que reduce en promedio el tamaño de los encabezados en un 30%. Sin embargo, a pesar de su robustez ante ataques como CRIME, la nueva vulnerabilidad permite que un solo cliente consuma hasta 32GB de memoria del servidor en aproximadamente 20 segundos.
Mecanismo del Ataque
La técnica HTTP/2 Bomb se inspira en enfoques anteriores, como HPACK Bomb (CVE-2016-6581), y otros errores de DoS en Apache, como el CVE-2016-8740. La clave del ataque radica en la forma en que se amplifica. En lugar de introducir un gran valor en la tabla de compresión, se utiliza un encabezado casi vacío, y la amplificación proviene del control de memoria que el servidor asigna a cada entrada.
En un escenario hipotético, un ordenador doméstico con una conexión de 100 Mbps puede hacer que un servidor vulnerable sea inaccesible en cuestión de segundos. Esto se debe a que la vulnerabilidad permite que el cliente mantenga la conexión abierta, lo que bloquea la memoria asignada durante el tiempo que desee.
Medidas de Mitigación
Para protegerse contra esta vulnerabilidad, se recomiendan las siguientes acciones:
- NGINX: Actualizar a la versión 1.29.8 o superior, que incorpora la directiva max_headers con un valor predeterminado de 1000. Si no es posible actualizar, se sugiere desactivar HTTP/2 con http2 off.
- Apache HTTPD: Corregido en mod_http2 versión 2.0.41. Si no se puede realizar la actualización, se aconseja establecer Protocols http/1.1 para desactivar HTTP/2.
- Microsoft IIS, Envoy y Cloudflare Pingora: No hay parches disponibles en este momento.
Conclusión
La vulnerabilidad HTTP/2 Bomb representa un riesgo significativo para la seguridad de los servidores web. Es fundamental que las organizaciones implementen las recomendaciones de mitigación para reducir el riesgo de un ataque exitoso. La naturaleza del ataque y su capacidad de agotar rápidamente los recursos del servidor subrayan la necesidad de una vigilancia constante y actualizaciones de seguridad regulares.