Imperva lanzó un nuevo reporte en la conferencia Black Hat USA 2016 que documenta cuatro vulnerabilidades de alto perfil que fueron encontradas por investigadores del Defense Center de Imperva en HTTP/2, una nueva versión del protocolo que funge como uno de los pilares de la World Wide Web.

HTTP/2 introduce nuevos mecanismos que incrementan de forma efectiva la superficie de ataques a infraestructuras críticas de negocios, lo que vuelve a este protocolo vulnerable a nuevos tipos de ataques.

Los investigadores de Imperva analizaron a profundidad implementaciones HTTP/2 para Apache, Microsoft, NGINX, Jetty y nghttp2. El grupo descubrió vulnerabilidades explotables en los principales mecanismos HTTP/2 que analizaron, entre estos se incluyen dos que son similares a vulnerabilidades bien conocidas y ampliamente explotadas en HTTP/1.x.

Al parecer otras implementaciones de este protocolo también sufren estas vulnerabilidades.

Las amenazas preocupan principalmente por  la rápida adopción de HTTP/2. De acuerdo con W3Techs, 8.7% de los sitios web (alrededor de 85 millones de sitios) usan HTTP/2, un incremento de casi cuatro veces en comparación con 2.3%  de diciembre de 2015.

Los cuatro vectores de ataque de alto perfil incluyen:

• Slow read - El ataque llama a un cliente malicioso que lee las respuestas de forma muy lenta, es idéntico al ya conocido Slowloris DDoS que atacó a grandes procesadores de tarjetas de crédito en 2010. El único valor en los ataques Slow Read es que siguen siendo efectivos los ataques ya estudiados en el ecosistema HTTP/1.x. El Defense Center de Imperva identificó variantes en esta vulnerabilidad en la mayoría de los servidores web más populares, entre ellos Apache, IIS, Jetty, NGINX y nghttp2.
• PACK Bomb - Este ataque de compresión de capas reensambla una bomba ZIP. El ataque produce mensajes pequeños y que aparentan ser inofensivos pero que se vuelven GB de datos dentro de los servidores, lo que consume toda la memoria del servidor para dejarlo como no disponible.
• Dependency Cycle Attack - El ataque toma ventaja de los mecanismos de control de flujos de HTTP/2 introdujo para optimización de la red. El cliente malicioso genera solicitudes que llevan a un ciclo de dependencia que a su vez fuerza al servidor a entrar en un círculo infinito mientras trata de procesar esas dependencias.
• Stream Multiplexing Abuse - El atacante usa algunas fallas en la forma en que los servidores implementan la funcionalidad Stream Multiplexing para romper el servidor, esto, a su vez, resulta en un ataque de denegación de servicio para usuarios legítimos.

Los investigadores notificaron a los responsables de todas las vulnerabilidades encontradas, actualmente se han lanzado seis reparaciones.

Puedes revisar el reporte que incluye todos los detalles técnicos sobre las fallas y los posibles ataques.