A implementação do HTTP/2 tem vindo a ser realizada a passos largos, mas foram recentemente descobertas vulnerabilidades que podem colocar os sistemas em risco de ataques DDoS – em algo que afeta diversas plataformas que utilizem Apache, IIS e Nginx.
Criado em Maio de 2015, o HTTP/2 foi desenhado para fornecer mais segurança e velocidade no carregamento dos websites online. Atualmente cerca de 40% de todos os sites na internet estão a utilizar este protocolo como base, sobretudo depois do HTTPS ter passado a ser uma norma para qualquer site online – o HTTP/2 aproveita a tecnologia de ligação segura para aumentar a velocidade de carregamento.
No entanto, foram recentemente descobertas oito vulnerabilidades sobre o HTTP/2. Sete destas vulnerabilidades foram descobertas por Jonathan Looney, da Netflix, e uma por Piotr Sikora da Google. As vulnerabilidades permitem que um atacante aproveite as mesmas para ocupar todos os recursos de qualquer servidor, levando ao seu bloqueio. Um simples ataque DoS seria suficiente para levar servidores de grandes empresas a ficarem indisponíveis durante horas, sem controlo.
Estas vulnerabilidades foram inicialmente descobertas em Maio de 2019, e desde então tem vindo a ser corrigidas silenciosamente pelas empresas. Até ao momento ainda se desconhece que impacto as falhas podem vir a ter em potenciais ataques.
Pouco depois das vulnerabilidades terem sido publicamente reveladas, verificou-se um aumento de ataques DDoS a nível mundial, alguns dos quais tinham como alvo verificar as vulnerabilidades em servidores existentes.
Para a grande maioria dos softwares que utilizam o HTTP/2 já se encontram disponíveis atualizações para estas vulnerabilidades. Apache, Nginx e IIS já contam com as correções disponíveis, sendo que as mesmas estão também a ser implementadas em plataformas mais gerais, como é o caso do Cloudflare e as redes da Akamai.
Nenhum comentário
Seja o primeiro!