Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
▼
abril
(Total:
123
)
- Reino Unido prohíbe vender dispositivos inteligent...
- Infostealers: malware que roba información
- Vulnerabilidades Zero-Day en firewalls Cisco ASA
- Volkswagen hackeada: roban 19.000 documentos del s...
- Vulnerabilidad grave en GNU C Library (glibc) de 2...
- TikTok dejará de pagar a sus usuarios para evitar ...
- Windows 11 empieza a mostrar anuncios en el menú d...
- El malware RedLine Stealer abusa de repos de Githu...
- ¿Qué es el eSIM swapping?
- Ransomware en México
- Crean un perro robot con lanzallamas
- PartedMagic, Rescatux, SystemRescueCD, distros Lin...
- TikTok podrá clonar tu voz con inteligencia artifi...
- Ex director de ciber política de la Casa Blanca ta...
- Nuevo Chromecast 4K con Google TV
- Europa abre una investigación contra TikTok por su...
- El senado de Estados Unidos vota contra TikTok, so...
- El fabricante de tu móvil estará obligado a arregl...
- Procesadores de Intel Core i9 13-14th pierden hast...
- Vulnerabilidad crítica en VirtualBox para Windows
- Estados Unidos ha librado una batalla aérea simula...
- La Policía Europea (Europol) quiere eliminar el ci...
- Bruselas amenaza con suspender la nueva versión de...
- La Audiencia Nacional de España niega a EEUU una e...
- Desarrollan en Japón inteligencia artificial que p...
- ¿Cómo se cuelan las aplicaciones maliciosas en la ...
- Telefónica cierra todas sus centrales de cobre y E...
- Configurar correo electrónico aún más seguro con A...
- Samsung aumenta la jornada laboral a 6 días para “...
- LaLiga pide imputar a directivos de Apple, Google ...
- Windows 11 le daría la espalda a Intel y AMD con s...
- Desmantelada la plataforma de phishing LabHost
- Microsoft Office 2016 y 2019 sin soporte a partir ...
- Blackmagic Camera, la app para Android para grabar...
- Apple permite instalar aplicaciones para iOS como ...
- Filtrados casi 6 millones de archivos con fotos de...
- Versión con malware de Notepad++
- PuTTY corrige una vulnerabilida en el uso de clave...
- 54 mil millones de cookies robadas
- Cómo detectar la autenticidad de fotografías y vídeos
- CISA presenta su sistema de análisis de malware
- Un ciberataque deja al descubierto los datos perso...
- La única persona que se conecta a Steam en la Antá...
- DiskMantler: así es «el destructor de discos duros...
- ¿Qué es el PPPoE (Protocolo Punto a Punto over Eth...
- ¿Qué es POE? ¿Cuáles son las diferencias entre POE...
- IPsec Passthrough y VPN Passthrough
- La gran pregunta del mundo del gaming: ¿Los juegos...
- Cómo cambiar el puerto por defecto 3389 de RDP
- Inteligencia artificial Grok usa protocolo Torrent...
- Cómo instalar programas o reinstalar Windows con W...
- Intel descataloga por sorpresa los chips Core de 1...
- El fabricante de accesorios Targus interrumpe sus ...
- Filtran base con datos personales de 5.1 millones ...
- Hollywood carga contra la piratería y propone una ...
- Google Fotos revela que el Borrador Mágico será un...
- Empleado de Microsoft expone un servidor sin contr...
- Cómo configurar un proxy o VPN para Telegram
- Sierra Space quiere entregar suministros bélicos d...
- El PSG reconoce un ciberataque contra su sistema d...
- Descubiertas varias vulnerabilidades de seguridad ...
- P4x: el hacker justiciero que tumbó internet en Co...
- Amazon consigue cerrar un canal de Telegram que pr...
- Elon Musk cree que la IA superará a la inteligenci...
- Ciberdelincuentes chinos usan la IA generativa par...
- Estos son todos los datos que recopila ChatGPT cad...
- Ofrecen 30 millones de dólares por encontrar explo...
- Se busca director para la Agencia Española de Supe...
- Find My Device de Android permite "Encontrar mi di...
- Google resenta Axion, su primer procesador basado ...
- A la venta por 10.000$ base de datos con de 39,8 m...
- Despedido el CEO de la productora de 'Got Talent' ...
- Spotify presenta AI Playlist: crea listas de repro...
- Elon Musk contra un juez de Brasil por el bloqueo ...
- OpenAI usó videos robados de YouTube para entrenar...
- Apple firma con Shutterstock un acuerdo de entre 2...
- MTA-STS: Strict Transport Security
- Si coges el metro en San Francisco, es gracias a u...
- La app de control parental KidSecurity expone dato...
- Stability AI en crisis tras incumplir pagos a prov...
- Tu número de móvil podría valer 14.000 euros: así ...
- Vulnerabilidad crítica de Magento permite robar da...
- Los atacantes que hackearon el Consorcio Regional ...
- Cómo se forjó el backdoor en xz (librería Linux)
- Cómo saber cuándo pasará el coche de Google Street...
- Dos hermanos se han hecho millonarios desarrolland...
- El Gobierno de España encarga a IBM crear un model...
- Google tiene la solución al gran problema del JPEG...
- Twitter regala verificaciones azules a cuentas que...
- La trampa de los cursos para aprender a programar ...
- Android 15 permitirá tener un espacio privado para...
- Google limitará los bloqueadores de anuncios en Ch...
- Microsoft bloqueará las actualizaciones de Windows...
- YouTube lanza una advertencia a OpenAI: usar sus v...
- Patente busca inyectar anuncios por HDMI cuando ju...
- Apple, cerca de sufrir escasez de chips por culpa ...
- La Guardia Civil detiene a un pasajero que extravi...
- Un estado alemán se aleja de Microsoft y usará Lin...
- Todo lo que necesitas saber sobre las VLANs en redes
- Documentos judiciales revelan que Facebook permiti...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Un nuevo ataque HTTP/2 DoS puede hacer caer servidores web con una sola conexión
Una nueva investigación ha descubierto que el frame CONTINUATION del protocolo HTTP/2 puede explotarse para realizar ataques de denegación de servicio (DoS).
Ataque DoS a través de vulnerabilidad en protocolo HTTP/2
La técnica recibió el nombre en código HTTP/2 CONTINUATION Flood por el investigador de seguridad Bartek Nowotarski, quien informó el problema al Centro de Coordinación CERT (CERT/CC) el 25 de enero de 2024 debido al potencial problema relacionado a ataques de DoS generalizados a toda Internet.
Según Cloudflare Radar, el tráfico HTTP/2 representa alrededor del 60% de todo el tráfico HTTP humano (excluye bots). En muchos casos, solo una conexión TCP sería suficiente para colapsar el servidor. No se debe olvidar que HTTP no solo ejecuta sitios web, sino también una parte importante de las API (API RESTful).
Los problemas de disponibilidad con importantes API y sitios web empresariales y gubernamentales podrían generar pérdidas de millones de dólares. O provocar el caos, por ejemplo: Polonia, el principal proveedor de armas pesadas de Ucrania y que también opera el centro militar más importante cerca de la frontera con Ucrania, experimenta un aumento de los ataques DDoS procedentes de Rusia.
"Muchas implementaciones HTTP/2 no limitan ni desinfectan adecuadamente la cantidad de tramas de CONTINUATION enviadas dentro de una sola secuencia", dijo CERT/CC en un aviso del 3 de abril de 2024. "Un atacante que puede enviar paquetes a un servidor de destino puede enviar una secuencia de tramas que no se agregarán a la lista de encabezados en la memoria, pero que aún así serán procesadas y decodificadas por el servidor o se agregarán a la lista de encabezados, lo que provocará un Fallo de falta de memoria (OOM)".
Como se lee en el detalle técnico, Al igual que en HTTP/1, HTTP/2 utiliza campos de encabezado dentro de solicitudes y respuestas. Estos campos de encabezado pueden comprender listas de encabezados que, a su vez, se serializan y dividen en bloques de encabezado. Los bloques de encabezado luego se dividen en fragmentos de bloque y se transmiten dentro de HEADER o lo que se llama frames de CONTINUATIONN.
"El marco CONTINUATION (tipo=0x9) se utiliza para continuar una secuencia de fragmentos de bloque de encabezado", se lee en la documentación del RFC 7540. "Se puede enviar cualquier número de tramas CONTINUATIONN, siempre y cuando la trama anterior esté en la misma secuencia y sea una trama HEADERS, PUSH_PROMISE o CONTINUATION sin el indicador END_HEADERS establecido".
El último fotograma que contiene encabezados tendrá configurado el indicador END_HEADERS, que indica al punto final remoto que es el final del bloque de encabezado.
Según Nowotarski, CONTINUATION Flood es una clase de vulnerabilidades dentro de varias implementaciones del protocolo HTTP/2 que representan una amenaza más grave en comparación con el ataque Rapid Reset que salió a la luz en octubre de 2023. Rapid Reset sobre HTTP/2 fue denominado "el mayor ataque DDoS hasta la fecha".
"Una sola máquina (y en ciertos casos, una simple conexión TCP o un puñado de tramas) tiene el potencial de interrumpir la disponibilidad del servidor, con consecuencias que van desde fallas del servidor hasta una degradación sustancial del rendimiento. Sorprendentemente, las solicitudes que constituyen un ataque no son visibles en los registros de acceso HTTP".
La vulnerabilidad, en esencia, tiene que ver con el manejo incorrecto de HEADERS y múltiples tramas de CONTINUATIONN que allanan el camino para una condición DoS. En otras palabras, un atacante puede iniciar una nueva secuencia HTTP/2 contra un servidor de destino utilizando una implementación vulnerable y enviar tramas HEADERS y CONTINUATION sin el indicador END_HEADERS establecido, creando una secuencia interminable de encabezados que el servidor HTTP/2 necesitaría. para analizar y almacenar en la memoria.
Si bien el resultado exacto varía según la implementación, los impactos van desde una falla instantánea después de enviar un par de tramas HTTP/2 y una falla por falta de memoria hasta el agotamiento de la CPU, lo que afecta la disponibilidad del servidor.
De hecho, la RFC 9113 menciona múltiples problemas de seguridad que pueden surgir si las tramas de CONTINUATION no se manejan correctamente. "Al mismo tiempo, no menciona un caso específico en el que las tramas CONTINUATION se envían sin el indicador final END_HEADERS, lo que puede tener repercusiones en los servidores afectados".
Proyectos afectados
Proyecto | Confirmado | Versión afectada | CVE ID | Enlaces |
---|---|---|---|---|
amphp/http | 2024-03-11 | >= 2.0.0 && <= 2.1.0, <= 1.7.2 | CVE-2024-2653 | Advisory |
Apache HTTP Server (httpd) | 2024-02-23 | 2.4.17-2.4.58 | CVE-2024-27316 | Advisory |
Apache Tomcat | 2024-01-25 | <=11.0.0-M16, <=10.1.18, <=9.0.85, 8.5.0-8.5.98 | CVE-2024-24549 | Advisory* |
Apache Traffic Server | 2024-03-29 | 8.0.0-8.1.9, 9.0.0-9.2.3 | CVE-2024-31309 | |
Envoy proxy (oghttp) | 2024-02-27 | 1.29.0, 1.29.1 | CVE-2024-27919 | Advisory |
Envoy proxy (nghttp2) | 2024-02-27 | <=1.29.2 | CVE-2024-30255 | Advisory |
Golang | 2024-01-10 | <=1.20, <=1.21.8, <=1.22.1 | CVE-2023-45288** | Advisory |
h2 Rust crate
|
2024-03-04 | N/A | Advisory | |
nghttp2 | 2024-03-08 | <=1.60.0 | CVE-2024-28182 | |
Node.js | 2024-01-15 | <=18.20.0, <=20.12.0, <=21.7.1 | CVE-2024-27983 | Advisory |
Tempesta FW | 2024-03-16 | 0.7.0 | CVE-2024-2758 |
NO afectados: Nginx, Jetty, HAProxy, NetScaler, Varnish.
Esta clase de vulnerabilidad plantea un riesgo importante para la seguridad de Internet. Se recomienda a los usuarios actualizar el software afectado a la última versión para mitigar posibles amenazas. A falta de una solución, se recomienda considerar desactivar temporalmente HTTP/2 en el servidor.
Fuente: Bartek Nowotarski
Vía:
https://blog.segu-info.com.ar/2024/04/ataque-dos-traves-de-vulnerabilidad-en.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.