En los últimos meses, la industria de la seguridad ha observado una nueva técnica de ataque que apunta a las configuraciones de HTTP/2 en servidores web de alto perfil. Aunque varios proveedores han desarrollado y desplegado parches, el panorama sigue evolucionando a medida que organizaciones revisan sus entornos, evalúan riesgos y priorizan mitigaciones.

Contexto técnico
– HTTP/2 introduce mejoras de rendimiento y multiplexación de flujos, pero también amplía el conjunto de superficies configurables y opciones de seguridad que deben ser gestionadas con rigor.
– La nueva técnica de ataque aprovecha ciertas configuraciones predeterminadas o mal gestionadas, combinando discrepanias entre negociación de ALPN/HTTP/2, manejo de encabezados, y límites de recursos para desencadenar comportamiento anómalo o degradación de servicio.
– Los vectores pueden incluir desbordes de memoria en módulos de servidor, exposición de endpoints no autenticados o abuso de procesos de negociación TLS/ALPN que terminan en estados inseguros.

Qué significa para las organizaciones
1) Inventario y revisión de configuraciones: Es fundamental identificar qué servidores web están expuestos a HTTP/2 y registrar las configuraciones relacionadas con ALPN, h2, h2c, límites de tamaño de encabezados, y límites de memoria para streams concurrentes.
2) Gestión de parches y versiones: Varios proveedores han publicado correcciones que abordan explícitamente este vector de ataque. La implementación temprana de parches y la verificación de la versión deben formar parte de la rutina de seguridad de TI.
3) Segmentación y defensa en profundidad: Aunque se apliquen parches, conviene reforzar prácticas de defensa en profundidad: segmentación de redes, límites de tasa, monitoreo de anomalías en tráfico HTTP/2 y mecanismos de registro para alertar sobre patrones atípicos.
4) Pruebas de seguridad y validación: Realizar pruebas de penetración enfocadas en HTTP/2 y escenarios de configuración típicos de la empresa. Simulaciones de sobrecarga, intentos de negociación y pruebas de resiliencia ante fallos pueden ayudar a validar las defensas.

Buenas prácticas recomendadas
– Mantener configuraciones mínimas necesarias: deshabilitar funciones de HTTP/2 no requeridas para el servicio específico y aplicar el principio de menor privilegio en módulos y procesos asociados.
– Asegurar la consistencia entre TLS y HTTP/2: revisar las políticas de ALPN y las expectativas entre el cliente y el servidor para evitar estados inseguros durante la negociación.
– Monitorizar métricas de rendimiento: observar latencia, uso de CPU y memoria durante picos de tráfico para detectar degradación asociada a configuraciones mal gestionadas.
– Automatización de parches: establecer pipelines de parcheo que incluyan verificación de versión, pruebas de compatibilidad y despliegue en entornos de pruebas antes de producción.

Implicaciones para el futuro
La reciente técnica de ataque subraya la necesidad de una estrategia continua de seguridad para HTTP/2 que vaya más allá de las actualizaciones puntuales. Las organizaciones deben invertir en visibilidad de configuración, pruebas regulares y reservas de capacidad para responder rápidamente ante incidentes. A medida que las plataformas evolucionan y se integran con servicios en la nube, la colaboración entre equipos de seguridad, DevOps y proveedores de software será esencial para mitigar riesgos sin comprometer el rendimiento y la disponibilidad de los servicios web.

from Latest from TechRadar https://ift.tt/SLT45hc
via IFTTT IA