AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Nueva vulnerabilidad ‘HTTP/2 Bomb’ permite derribar servidores web en segundos**

admin

### 1. Introducción

En las últimas semanas, investigadores en ciberseguridad han identificado una nueva cadena de ataque que explota configuraciones por defecto del protocolo HTTP/2 en los principales servidores web, permitiendo que actores maliciosos puedan tumbar servicios críticos en cuestión de segundos. Esta técnica, bautizada como ‘HTTP/2 Bomb’, combina la lógica de una bomba de compresión con tácticas reminiscentes del ataque Slowloris, planteando riesgos serios para la disponibilidad y estabilidad de infraestructuras web empresariales y gubernamentales.

### 2. Contexto del Incidente o Vulnerabilidad

Los ataques de denegación de servicio (DoS) a nivel de aplicación han evolucionado en los últimos años, volviéndose más sofisticados y difíciles de mitigar. HTTP/2, adoptado ampliamente por su eficiencia y rendimiento respecto a HTTP/1.1, introduce nuevas capacidades como la multiplexación de streams, pero también abre la puerta a vectores de ataque inéditos. La ‘HTTP/2 Bomb’ explota específicamente la forma en que los servidores gestionan la compresión de encabezados y la persistencia de conexiones lentas, afectando implementaciones populares como Apache, NGINX y Microsoft IIS en sus configuraciones por defecto.

### 3. Detalles Técnicos

#### Vulnerabilidad y CVE Asignado

La vulnerabilidad, aún en proceso de asignación de CVE, reside en la implementación de la compresión HPACK de HTTP/2 y la gestión de streams persistentes. Un atacante puede iniciar múltiples streams y enviar encabezados altamente comprimidos, de forma análoga a una ‘bomba de compresión’, donde una cantidad mínima de datos provoca una expansión masiva en memoria.

Simultáneamente, emplea la táctica Slowloris: mantiene abiertas las conexiones enviando paquetes a intervalos cuidadosamente calculados, saturando los recursos del servidor sin sobrepasar los umbrales de detección de DoS tradicionales.

#### Vectores y Herramientas de Ataque

– **TTP MITRE ATT&CK**: TA0007 (Denial of Service), T1499 (Endpoint DoS), T1499.002 (Service Exhaustion Flood).
– **Exploit**: Pruebas han demostrado la viabilidad del ataque utilizando herramientas personalizadas y adaptaciones de frameworks como Metasploit.
– **Indicadores de Compromiso (IoC)**: Incremento anómalo de streams HTTP/2 inactivos, uso de encabezados HPACK altamente repetitivos y tráfico de red con patrones de “ping” lento.

#### Versiones Afectadas

– **Apache HTTP Server**: 2.4.x con mod_http2 habilitado.
– **NGINX**: 1.13+ con soporte HTTP/2.
– **Microsoft IIS**: Windows Server 2016/2019 con HTTP/2 activo.

Se estima que más del 78% de los servidores web con HTTP/2 habilitado en Europa están potencialmente expuestos, según datos de Censys y Shodan.

### 4. Impacto y Riesgos

El ataque puede provocar desde ralentizaciones severas hasta caídas totales del servicio en cuestión de segundos, dependiendo de la capacidad de recursos y la configuración defensiva del servidor. Los principales riesgos identificados incluyen:

– **Interrupción del servicio y pérdida de disponibilidad** (violación directa de SLA y potencial incumplimiento de GDPR/NIS2 en caso de servicios esenciales).
– **Exposición a ataques combinados** (ej. DoS junto a exfiltración de datos durante la ventana de caída).
– **Afectación a infraestructuras críticas**: portales gubernamentales, banca online, comercio electrónico y servicios cloud.

### 5. Medidas de Mitigación y Recomendaciones

Los proveedores de servidores afectados han comenzado a lanzar parches y actualizaciones de configuración. Se recomienda:

– **Actualizar inmediatamente** a las versiones más recientes de Apache, NGINX e IIS, donde se incluyen mitigaciones específicas contra la sobrecompresión HPACK y límites más estrictos a streams simultáneos.
– **Limitar el número de streams HTTP/2 concurrentes** y establecer umbrales de tiempo y tamaño para encabezados comprimidos.
– **Implementar soluciones WAF** que monitoricen y bloqueen patrones anómalos de tráfico HTTP/2.
– **Monitorización proactiva**: ajustes en el SIEM para detectar incrementos inusuales de conexiones lentas y uso excesivo de memoria por procesos HTTP/2.
– **Pruebas de estrés internas** para validar la resiliencia ante este vector.

### 6. Opinión de Expertos

Javier Méndez, CISO de una entidad financiera, destaca: “La llegada de HTTP/2 supuso un avance, pero también requiere una revisión continua de los mecanismos de protección, ya que los atacantes aprovechan cualquier laguna en las nuevas implementaciones.” Por su parte, la firma de análisis SANS Institute alerta que “las configuraciones por defecto rara vez son seguras ante técnicas avanzadas de DoS, y este caso lo demuestra rotundamente”.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, el impacto puede suponer pérdida de ingresos, daño reputacional y exposición legal bajo la GDPR y la NIS2, especialmente si la indisponibilidad afecta a servicios esenciales o datos personales. Los usuarios, por su parte, pueden experimentar indisponibilidad de servicios críticos, con el consiguiente impacto en la confianza y la continuidad operativa.

### 8. Conclusiones

La ‘HTTP/2 Bomb’ pone de manifiesto la necesidad de revisar continuamente las configuraciones y políticas de seguridad en tecnologías emergentes. La rápida adopción de HTTP/2 no debe ir acompañada de una falsa sensación de seguridad: la superficie de ataque cambia y los actores maliciosos evolucionan. Es imprescindible aplicar parches, ajustar parámetros y reforzar la monitorización para anticipar y contener este tipo de amenazas.

(Fuente: www.securityweek.com)