AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Nueva técnica MadeYouReset pone en jaque la seguridad de HTTP/2 y expone a infraestructuras críticas a ataques DoS masivos

admin

#### Introducción

La ciberseguridad de los protocolos fundamentales de Internet vuelve a ser cuestionada tras el descubrimiento de una técnica de ataque denominada **MadeYouReset**, que afecta a múltiples implementaciones de HTTP/2. Este hallazgo revela vulnerabilidades que pueden ser explotadas para llevar a cabo ataques de denegación de servicio (DoS) de gran escala, superando las medidas defensivas tradicionales basadas en el control de concurrencia de peticiones. El incidente obliga a profesionales del sector, desde CISOs hasta administradores de sistemas, a reevaluar la protección de sus infraestructuras frente a vectores de ataque cada vez más sofisticados.

#### Contexto del Incidente o Vulnerabilidad

HTTP/2, ratificado por el IETF en 2015, introdujo mejoras significativas sobre HTTP/1.1 en términos de multiplexación, compresión de encabezados y gestión eficiente de conexiones. Estas ventajas han hecho que su adopción supere el 50% de los sitios web según W3Techs (junio de 2024). Para limitar el abuso de recursos, la especificación y las implementaciones más utilizadas (incluyendo NGINX, Apache, IIS y servidores en la nube) establecen por defecto un máximo de 100 streams (peticiones concurrentes) por conexión TCP. Dicha limitación es crítica para mitigar ataques DoS por saturación de recursos.

El ataque MadeYouReset, descubierto recientemente por investigadores independientes, explota deficiencias en la gestión de los streams HTTP/2, permitiendo a un atacante superar este umbral y forzar a los servidores a realizar reinicios internos (reset), generando una sobrecarga que puede inhabilitar servicios críticos.

#### Detalles Técnicos

El ataque MadeYouReset afecta principalmente a las implementaciones de HTTP/2 en servidores ampliamente desplegados. Aunque aún no se ha asignado un identificador oficial de CVE, los principales fabricantes han reconocido la vulnerabilidad y trabajan en parches.

**Vector de ataque:**
El atacante inicia múltiples streams HTTP/2 en una misma conexión TCP, pero en lugar de completarlos, manipula el estado de los streams para mantenerlos abiertos y forzar reset internos mediante la inyección de frames de tipo RST_STREAM y manipulación de los flujos mediante HEADERS y DATA frames. El límite impuesto por el parámetro `SETTINGS_MAX_CONCURRENT_STREAMS` se ve así superado, dado que el servidor libera recursos antes de tiempo pero mantiene la conexión activa, permitiendo al atacante reciclar el ciclo y abrir nuevas peticiones.

**TTPs (MITRE ATT&CK):**
– **T1499 (Endpoint Denial of Service):** El atacante agota los recursos de la máquina objetivo.
– **T1464 (Network Denial of Service):** Saturación de la pila de red y recursos de la aplicación.
– **T1190 (Exploit Public-Facing Application):** Explotación de servicios HTTP/2 expuestos a Internet.

**Indicadores de Compromiso (IoC):**
– Elevado número de frames RST_STREAM y HEADERS en los logs HTTP/2.
– Multiplicidad de conexiones TCP persistentes desde un mismo origen.
– Saturación de hilos de trabajo en el servidor sin un incremento correlativo en el tráfico legítimo.

**Herramientas y frameworks:**
Se ha observado la adaptación de módulos en Metasploit y scripts personalizados en Python y Go para automatizar la explotación. Grupos de investigación han demostrado PoC funcionales que pueden lanzarse desde VPS con mínimo ancho de banda.

#### Impacto y Riesgos

El impacto potencial de MadeYouReset es crítico, especialmente para proveedores de servicios en la nube, CDN, entidades financieras y operadores de infraestructuras críticas. Los ataques pueden:
– Degradar el rendimiento del servidor hasta niveles inoperativos.
– Provocar reinicios automáticos de procesos, pérdida de disponibilidad y, en algunos casos, corrupción de sesión.
– Superar las capacidades de mitigación habituales de WAFs y balanceadores de carga.

Según estimaciones iniciales, más del 65% de los servidores HTTP/2 públicos podrían estar expuestos, afectando a millones de sitios en todo el mundo. El impacto económico de un ataque DoS exitoso de estas características puede superar los 300.000 € por hora en empresas del sector financiero y de e-commerce, además de exponer a sanciones regulatorias bajo la GDPR y la inminente NIS2.

#### Medidas de Mitigación y Recomendaciones

– **Actualizar inmediatamente** a las versiones parcheadas de los servidores HTTP/2 afectados.
– Monitorizar patrones anómalos de uso de streams y frames RST_STREAM.
– Limitar el número de conexiones TCP concurrentes por cliente en el firewall.
– Aplicar reglas específicas en WAF/IDS para detectar y bloquear comportamientos sospechosos en HTTP/2.
– Revisar la configuración del parámetro `SETTINGS_MAX_CONCURRENT_STREAMS` y ajustar según la carga legítima esperada.
– Considerar la segmentación de servicios críticos detrás de proxies o gateways HTTP/1.1 temporales mientras se implementan los parches.

#### Opinión de Expertos

Expertos como Lorenzo Martínez (Securízame) y miembros del CERT-EU coinciden en que MadeYouReset representa un punto de inflexión en la explotación de capas de transporte avanzadas. «Esta vulnerabilidad pone de manifiesto la necesidad de una vigilancia constante y de mecanismos de defensa en profundidad. El modelo de amenazas debe actualizarse para considerar no solo el volumen de tráfico, sino también su estructura a nivel de protocolo», señala Martínez.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar su exposición a HTTP/2, especialmente si operan servicios críticos o regulados. Una respuesta lenta puede traducirse en brechas de disponibilidad, daños reputacionales y multas bajo el RGPD o la NIS2, que exige a partir de 2024 mayor resiliencia y diligencia en la gestión de riesgos tecnológicos. Los usuarios finales pueden experimentar caídas de servicio, lentitud o imposibilidad de acceder a plataformas online.

#### Conclusiones

MadeYouReset evidencia cómo los atacantes continúan explorando y explotando debilidades en protocolos fundamentales, desbordando las defensas tradicionales. La rápida adopción de parches, el refuerzo de la monitorización y la adaptación de estrategias de mitigación son pasos imprescindibles para blindar infraestructuras críticas y evitar impactos económicos y regulatorios devastadores.

(Fuente: feeds.feedburner.com)