F5 soluciona vulnerabilidad en HTTP/2 que permitía ataques masivos de denegación de servicio.
Publicado enTecnología

F5 soluciona vulnerabilidad en HTTP/2 que permitía ataques masivos de denegación de servicio.

No hay comentarios

F5 Aborda Vulnerabilidad Crítica de Denegación de Servicio en HTTP/2

F5, un proveedor líder en soluciones de seguridad y entrega de aplicaciones, ha emitido actualizaciones de seguridad críticas para abordar una vulnerabilidad de denegación de servicio (DoS) de alta severidad que afecta a sus productos que implementan el protocolo HTTP/2. Esta vulnerabilidad, identificada como CVE-2023-44487, es conocida como el ataque de “Restablecimiento Rápido” (Rapid Reset) de HTTP/2 y ha sido objeto de atención generalizada en la industria debido a su potencial para causar interrupciones significativas en el servicio.

Análisis Técnico de la Vulnerabilidad (CVE-2023-44487)

La vulnerabilidad CVE-2023-44487 explota una característica inherente del protocolo HTTP/2 que permite la cancelación de flujos (streams). En HTTP/2, múltiples solicitudes y respuestas pueden multiplexarse sobre una única conexión TCP, cada una asociada a un “flujo”. Un cliente puede iniciar un flujo y luego cancelarlo rápidamente utilizando un marco RST_STREAM.

El ataque de “Restablecimiento Rápido” se basa en la capacidad de un atacante para enviar un gran volumen de solicitudes HTTP/2 y cancelarlas casi instantáneamente. Este proceso genera una carga desproporcionada en el servidor o balanceador de carga, ya que debe procesar el inicio y la terminación de cada flujo, asignar y liberar recursos, y gestionar el estado de la conexión. Aunque cada operación individual es pequeña, la repetición de miles o millones de estas operaciones por segundo puede agotar rápidamente los recursos del sistema, como la CPU, la memoria y el ancho de banda de la red, llevando a una denegación de servicio.

A diferencia de los ataques DoS tradicionales que saturan la red (como los ataques SYN flood), el ataque de “Restablecimiento Rápido” opera en la capa de aplicación (Capa 7), lo que lo hace más difícil de detectar y mitigar con defensas de red básicas. La eficiencia del ataque radica en que no requiere que el atacante complete una conexión o una solicitud HTTP completa, minimizando el consumo de recursos del atacante mientras maximiza el impacto en el objetivo.

Productos F5 Afectados

La vulnerabilidad CVE-2023-44487 afecta a una amplia gama de productos de F5 que manejan tráfico HTTP/2. Los productos específicos incluyen:

  • BIG-IP: Módulos como Local Traffic Manager (LTM), Advanced Firewall Manager (AFM), Application Security Manager (ASM)/Advanced WAF, Access Policy Manager (APM), entre otros, son susceptibles si procesan tráfico HTTP/2.
  • BIG-IP Next: La próxima generación de la plataforma BIG-IP también está afectada.
  • F5OS-A y F5OS-C: Los sistemas operativos subyacentes para plataformas de hardware de F5.
  • NGINX Open Source y NGINX Plus: Las versiones de NGINX que actúan como servidores web, proxies inversos o balanceadores de carga.
  • NGINX Management Suite: Herramientas de gestión para NGINX.
  • NGINX Ingress Controller: Utilizado en entornos Kubernetes para la gestión de tráfico de entrada.
  • NGINX Service Mesh: Para la gestión de microservicios.
  • NGINX Unit: Un servidor de aplicaciones dinámico.
  • F5 Distributed Cloud Services (XC): Servicios en la nube distribuidos de F5.

Impacto y Riesgos Operacionales

El impacto principal de un ataque exitoso de “Restablecimiento Rápido” es la denegación de servicio. Esto puede manifestarse como:

  • Indisponibilidad del Servicio: Los sistemas afectados pueden volverse lentos o completamente inaccesibles para los usuarios legítimos.
  • Degradación del Rendimiento: Incluso si el servicio no se interrumpe por completo, el rendimiento puede degradarse severamente, afectando la experiencia del usuario y la eficiencia operativa.
  • Sobrecarga de Infraestructura: La sobrecarga de CPU, memoria y red puede afectar no solo al servicio objetivo, sino también a otros servicios que comparten la misma infraestructura.
  • Pérdidas Financieras y Reputacionales: La interrupción del servicio puede resultar en pérdidas de ingresos, daños a la reputación de la organización y posibles sanciones regulatorias si se trata de servicios críticos.

Soluciones y Mitigaciones

F5 ha lanzado parches de seguridad y ha proporcionado orientaciones para mitigar la vulnerabilidad CVE-2023-44487. Las acciones recomendadas incluyen:

  • Aplicación de Parches de Software: La medida más efectiva es actualizar los productos F5 a las versiones parcheadas. F5 ha publicado avisos de seguridad específicos (K000137707 para BIG-IP, K000137708 para NGINX, K000137709 para F5OS) que detallan las versiones afectadas y las soluciones disponibles.
  • Configuraciones Específicas para NGINX: Para NGINX, se pueden implementar configuraciones adicionales para limitar el impacto del ataque. Esto incluye ajustar directivas como http2_max_concurrent_streams para limitar el número de flujos concurrentes por conexión, y utilizar módulos como limit_req_zone y limit_conn_zone para controlar la tasa de solicitudes y conexiones.
  • Activación de Protecciones DoS en BIG-IP: Se recomienda habilitar y configurar las características de protección contra DoS disponibles en BIG-IP, como las ofrecidas por Advanced Firewall Manager (AFM) y Application Security Manager (ASM)/Advanced WAF. Estas soluciones pueden ayudar a identificar y mitigar patrones de tráfico anómalos asociados con ataques de “Restablecimiento Rápido”.
  • Monitoreo Continuo: Implementar un monitoreo robusto del tráfico HTTP/2 y de los recursos del sistema para detectar patrones inusuales que puedan indicar un ataque en curso.

Recomendaciones para Administradores de Sistemas

Para garantizar la resiliencia de los servicios que dependen de los productos F5, los administradores de sistemas deben:

  • Priorizar las Actualizaciones: Aplicar los parches de seguridad de F5 de manera inmediata, siguiendo las mejores prácticas de gestión de cambios.
  • Revisar la Arquitectura de Red: Evaluar la arquitectura de red para identificar puntos de estrangulamiento y asegurar que las soluciones de mitigación estén implementadas en los puntos adecuados.
  • Implementar Defensa en Profundidad: Combinar las actualizaciones de software con otras capas de seguridad, como WAFs, sistemas de prevención de intrusiones (IPS) y soluciones anti-DoS, para una protección integral.
  • Mantenerse Informado: Suscribirse a las alertas de seguridad de F5 y otras fuentes confiables para estar al tanto de nuevas vulnerabilidades y soluciones.

Conclusión

La vulnerabilidad CVE-2023-44487 en HTTP/2 representa una amenaza significativa de denegación de servicio que ha afectado a múltiples proveedores, incluyendo a F5. La naturaleza de este ataque, que explota una característica fundamental del protocolo HTTP/2, subraya la importancia de una gestión de parches proactiva y la implementación de soluciones de seguridad avanzadas. F5 ha respondido con parches y directrices claras, y es imperativo que las organizaciones actúen rápidamente para proteger sus infraestructuras críticas y asegurar la disponibilidad de sus servicios.

Para más información visita la Fuente original.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta