Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias HTTP/2 Bomb amenaza NGINX, Apache e IIS
Noticias

HTTP/2 Bomb amenaza NGINX, Apache e IIS

por Dragora
Escrito por Dragora

Investigadores en ciberseguridad han revelado una nueva técnica de denegación de servicio (DoS) denominada HTTP/2 Bomb, una vulnerabilidad que afecta a algunos de los servidores web más utilizados del mundo, incluidos NGINX, Apache HTTP Server, Microsoft IIS, Envoy y Cloudflare Pingora.

El hallazgo ha despertado una gran preocupación dentro de la comunidad de seguridad debido a que el ataque puede ejecutarse de forma remota, aprovecha configuraciones predeterminadas de HTTP/2 y permite agotar rápidamente los recursos de memoria de los servidores afectados. Según los investigadores, incluso una conexión doméstica convencional podría inutilizar servidores vulnerables en cuestión de segundos.

Lo más alarmante es que la técnica combina mecanismos legítimos del protocolo HTTP/2 con métodos ya conocidos de amplificación y agotamiento de recursos, generando un escenario altamente eficiente para provocar interrupciones de servicio masivas.

¿Qué es HTTP/2 Bomb?

HTTP/2 Bomb es una nueva variante de ataque de denegación de servicio que explota la forma en que los servidores procesan y almacenan las cabeceras HTTP comprimidas utilizando HPACK, el sistema de compresión incorporado en el protocolo HTTP/2.

Según los investigadores de California, responsables del descubrimiento, la vulnerabilidad surge al combinar dos técnicas ya conocidas:

  • Una bomba de compresión basada en HPACK.
  • Un mecanismo de retención inspirado en el ataque Slowloris.

Aunque ambas técnicas han sido estudiadas previamente de manera independiente, la combinación de ambas genera un efecto amplificado capaz de consumir cantidades masivas de memoria en muy poco tiempo.

El resultado es una condición de agotamiento de recursos que puede provocar lentitud extrema, degradación del rendimiento o incluso la caída completa del servicio.

Cómo funciona el ataque HTTP/2 Bomb

El ataque aprovecha una característica fundamental de HTTP/2: la compresión de cabeceras mediante HPACK.

HPACK fue diseñado para reducir el tamaño de las solicitudes HTTP y mejorar la eficiencia de las comunicaciones entre clientes y servidores.

Este algoritmo utiliza tablas dinámicas y codificación Huffman para comprimir los metadatos de las peticiones y respuestas, logrando reducciones promedio cercanas al 30% en el tamaño de las cabeceras.

Sin embargo, los investigadores descubrieron que es posible enviar cantidades mínimas de datos que obligan al servidor a realizar asignaciones de memoria significativamente mayores.

En términos prácticos, un solo byte transmitido puede traducirse en múltiples estructuras internas almacenadas en memoria por parte del servidor.

Posteriormente, el atacante utiliza una segunda técnica basada en el control de flujo HTTP/2 para impedir que esos recursos sean liberados.

Al establecer una ventana de control de flujo de cero bytes, el cliente puede mantener indefinidamente los datos retenidos en memoria, evitando que el servidor recupere los recursos asignados.

Esta combinación convierte una pequeña cantidad de tráfico en un consumo desproporcionado de memoria.

La relación con Slowloris y ataques anteriores

Los expertos comparan HTTP/2 Bomb con el conocido ataque Slowloris debido a que ambos comparten un objetivo común: mantener conexiones abiertas durante largos periodos para agotar los recursos disponibles.

Slowloris se convirtió en uno de los ataques de capa de aplicación más conocidos al permitir que un atacante mantuviera miles de conexiones HTTP parcialmente abiertas utilizando un consumo mínimo de ancho de banda.

HTTP/2 Bomb adopta una filosofía similar, pero añade un nuevo componente de amplificación basado en HPACK que multiplica significativamente su impacto.

Asimismo, la investigación se basa en conceptos observados anteriormente en vulnerabilidades como:

  • CVE-2016-6581 (HPACK Bomb).
  • CVE-2025-53020.
  • CVE-2016-8740.
  • CVE-2016-1546.

No obstante, los investigadores destacan que esta nueva técnica introduce una diferencia clave.

Mientras que las bombas HPACK tradicionales dependían de grandes volúmenes de datos comprimidos, HTTP/2 Bomb utiliza cabeceras extremadamente pequeñas y genera la amplificación mediante estructuras internas de procesamiento del servidor.

Como consecuencia, los mecanismos de protección tradicionales no siempre detectan la amenaza.

Impacto potencial sobre servidores web

La gravedad de HTTP/2 Bomb radica en la eficiencia con la que puede consumir recursos.

Según las pruebas realizadas por los investigadores, un ordenador doméstico conectado mediante una línea de 100 Mbps puede generar suficiente tráfico para dejar fuera de servicio un servidor vulnerable en pocos segundos.

Los resultados obtenidos muestran escenarios especialmente preocupantes.

Por ejemplo:

  • Apache HTTP Server puede consumir hasta 32 GB de memoria en aproximadamente 20 segundos.
  • Envoy presenta comportamientos similares bajo condiciones de explotación.
  • NGINX, IIS y Pingora también pueden sufrir degradaciones significativas dependiendo de la configuración.

En infraestructuras de alta disponibilidad, el impacto podría traducirse en:

Interrupción de servicios web

Los usuarios legítimos podrían perder acceso a aplicaciones empresariales, portales corporativos o plataformas críticas.

Aumento del consumo de recursos

Los servidores pueden alcanzar rápidamente límites de memoria y procesamiento.

Caídas de aplicaciones

Los servicios que dependen de HTTP/2 podrían experimentar fallos inesperados.

Costos operativos elevados

Los proveedores cloud podrían enfrentar incrementos de costos debido al consumo excesivo de recursos.

¿Qué productos están afectados?

La investigación confirmó que el comportamiento vulnerable existe en las configuraciones predeterminadas de varios de los servidores web más utilizados en Internet.

Entre ellos destacan:

  • NGINX.
  • Apache HTTP Server.
  • Microsoft IIS.
  • Envoy Proxy.
  • Cloudflare Pingora.

Debido a la enorme cuota de mercado de estas plataformas, el número potencial de sistemas expuestos podría ser considerable.

Muchas organizaciones utilizan HTTP/2 por defecto para mejorar el rendimiento y la experiencia de usuario, lo que amplía la superficie de ataque.

Mitigaciones y soluciones disponibles

Los investigadores han publicado varias recomendaciones para reducir el riesgo mientras los fabricantes continúan desarrollando protecciones adicionales.

NGINX

Los administradores deben actualizar a la versión 1.29.8 o superior.

Esta actualización introduce la directiva:

max_headers

La nueva configuración limita la cantidad de cabeceras procesadas y reduce significativamente el impacto del ataque.

Si la actualización no es posible, se recomienda desactivar HTTP/2 temporalmente.

Apache HTTP Server

La vulnerabilidad fue corregida en:

mod_http2 v2.0.41

Las organizaciones deben instalar esta versión o una posterior lo antes posible.

Como medida temporal, se recomienda deshabilitar HTTP/2 y utilizar únicamente HTTP/1.1.

Microsoft IIS

Actualmente no existe un parche oficial disponible.

Los administradores deben monitorizar las recomendaciones de Microsoft y aplicar medidas compensatorias mientras se desarrolla una solución.

Envoy

No se ha publicado una corrección definitiva al momento de redactar este artículo.

Las organizaciones deberían limitar la exposición pública y supervisar el uso de memoria de los servidores.

Cloudflare Pingora

Tampoco existe una actualización oficial disponible actualmente.

Los equipos de seguridad deben mantenerse atentos a futuros avisos del proveedor.

¿Por qué HTTP/2 Bomb es diferente a otros ataques DoS?

Según los investigadores, el problema fundamental no reside únicamente en la capacidad de amplificación.

La verdadera amenaza aparece porque HTTP/2 permite al cliente mantener abiertas las conexiones prácticamente sin coste, conservando asignaciones de memoria activas durante largos periodos.

Esta característica transforma una simple amplificación de recursos en un mecanismo efectivo para provocar agotamiento de memoria a gran escala.

En otras palabras, no se trata únicamente de cuánto se amplifica una solicitud, sino de cuánto tiempo puede obligar al servidor a conservar esos recursos.

Un nuevo desafío para la seguridad de HTTP/2

La aparición de HTTP/2 Bomb demuestra que incluso protocolos ampliamente adoptados y considerados maduros continúan presentando superficies de ataque inesperadas.

La combinación de compresión HPACK, control de flujo y persistencia de conexiones ha permitido crear una técnica capaz de afectar a algunos de los servidores web más importantes de Internet.

Dado que muchas organizaciones dependen de NGINX, Apache, IIS, Envoy y Pingora para ofrecer servicios críticos, la aplicación inmediata de actualizaciones, la revisión de configuraciones HTTP/2 y la monitorización continua de recursos se convierten en medidas esenciales para reducir el riesgo frente a esta nueva amenaza de denegación de servicio.

Fuente: The Hacker News

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

OpenAI presenta Daybreak para ciberseguridad con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!