- La nueva técnica DoS recibe el nombre de bomba HTTP/2
- La compresión y el control de flujo se utilizan en el estancamiento.
- Se confirma que los principales servidores web son vulnerables
Podemos agradecer a la IA por una nueva técnica de denegación de servicio (DoS) que puede desconectar un servidor en segundos usando nada más que una sola computadora con una conexión de 100 Mbps.
A principios de esta semana, investigadores de ciberseguridad descubrieron una nueva técnica DoS llamada bomba Calif HTTP/2. Utilizaron el agente de software Codex de OpenAI para descubrirlo, diciendo que combina dos métodos HTTP/2 DoS previamente conocidos: amplificación de compresión HPACK y retención de recursos estilo sloworis a través de estancamiento de control de flujo HTTP/2.
En pocas palabras, el ataque ahorra mucha memoria y al mismo tiempo engaña a un servidor web para que envíe muchos menos datos. El atacante explota una característica en HTTP/2 que permite que pequeñas solicitudes distribuyan grandes cantidades de datos dentro del servidor, obligándolo a asignar memoria.
Se ha publicado una prueba de concepto.
Normalmente, esa memoria se liberará después de que se procese la solicitud. Sin embargo, el atacante utiliza una función HTTP/2 separada para mantener la conexión abierta indefinidamente. A medida que llegan más solicitudes maliciosas, el uso de la memoria aumenta rápidamente, hasta que el servidor se ralentiza y finalmente falla.
Califf dice que la técnica funciona en configuraciones HTTP/2 de los principales servidores web, incluidos NGINX, Apache HTTP Server, Microsoft IIS, Envoy y Cloudflare Pingora.
Según CyberInsider, los productos afectados “alimentan una parte importante de la web”, lo que sugiere que el riesgo está bastante extendido. Algunos ya han emitido un parche, mientras que otros siguen siendo vulnerables. Esté atento a la configuración de su servidor para detectar actualizaciones entrantes.
“Una computadora doméstica con una conexión de 100 Mbps puede hacer que un servidor vulnerable sea accesible en segundos. A diferencia de Apache httpd y Envoy, un solo cliente puede consumir y retener 32 GB de memoria del servidor en aproximadamente 20 segundos”, dijeron los investigadores.
Se explicó con más detalle que las defensas actuales son impotentes contra las bombas HTTP/2. El límite de tamaño total del encabezado del decodificador, por ejemplo, no funciona porque los valores de encabezado utilizados en el ataque son pequeños.
Los detalles técnicos se publicarán a finales de este mes, dijo, pero Calif ya lanzó una prueba de concepto (PoC).
Califf dice que la técnica funciona en configuraciones HTTP/2 de los principales servidores web, incluidos NGINX, Apache HTTP Server, Microsoft IIS, Envoy y Cloudflare Pingora. Algunos ya han emitido un parche, mientras que otros siguen siendo vulnerables. Esté atento a la configuración de su servidor para detectar actualizaciones entrantes.
“Una computadora doméstica con una conexión de 100 Mbps puede hacer que un servidor vulnerable sea accesible en segundos. A diferencia de Apache httpd y Envoy, un solo cliente puede consumir y retener 32 GB de memoria del servidor en aproximadamente 20 segundos”, dijeron los investigadores.
Se explicó con más detalle que las defensas actuales son impotentes contra las bombas HTTP/2. El límite de tamaño total del encabezado del decodificador, por ejemplo, no funciona porque los valores de encabezado utilizados en el ataque son pequeños.
Los detalles técnicos se publicarán a finales de este mes, dijo, pero Calif ya lanzó una prueba de concepto (PoC).
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
