Imperva lanzó un nuevo reporte en la conferencia Black Hat USA 2016 que documenta cuatro vulnerabilidades de alto perfil que fueron encontradas por investigadores del Defense Center de Imperva en HTTP/2, una nueva versión del protocolo que funge como uno de los pilares de la World Wide Web.
HTTP/2 introduce nuevos mecanismos que incrementan de forma efectiva la superficie de ataques a infraestructuras críticas de negocios, lo que vuelve a este protocolo vulnerable a nuevos tipos de ataques.
Los investigadores de Imperva analizaron a profundidad implementaciones HTTP/2 para Apache, Microsoft, NGINX, Jetty y nghttp2. El grupo descubrió vulnerabilidades explotables en los principales mecanismos HTTP/2 que analizaron, entre estos se incluyen dos que son similares a vulnerabilidades bien conocidas y ampliamente explotadas en HTTP/1.x.
Al parecer otras implementaciones de este protocolo también sufren estas vulnerabilidades.
Las amenazas preocupan principalmente por la rápida adopción de HTTP/2. De acuerdo con W3Techs, 8.7% de los sitios web (alrededor de 85 millones de sitios) usan HTTP/2, un incremento de casi cuatro veces en comparación con 2.3% de diciembre de 2015.
Los cuatro vectores de ataque de alto perfil incluyen:
Los investigadores notificaron a los responsables de todas las vulnerabilidades encontradas, actualmente se han lanzado seis reparaciones.
Puedes revisar el reporte que incluye todos los detalles técnicos sobre las fallas y los posibles ataques.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT