+-----------------------------------------------+

CERT-MX
Centro de Respuesta a Incidentes
Cibernéticos de México
Guardia Nacional
BOL1023-31

Boletín vulnerabilidad en protocolo HTTP/2.

+-----------------------------------------------+

Fecha de publicación: 10 de octubre de 2023

Última revisión: 11 de octubre de 2023

Fuente: Monitoreo

Importancia: Crítica.

I. SISTEMAS AFECTADOS

 Cualquier empresa o usuario que esté sirviendo una carga de

trabajo basada en HTTP a Internet podría estar en riesgo de
este ataque. Las aplicaciones web, servicios y API en un
servidor o proxy capaz de comunicarse utilizando el protocolo
HTTP/2 podrían ser vulnerables.
 Módulo NGINX HTTP/2 (ngx_http_v2_module).
 Apache Tomcat, versiones:
 desde 8.5.0 hasta 8.5.93;
 desde 9.0.0-M1 hasta 9.0.80;
 desde 10.1.0-M1 hasta10.1.13.
 Listado de productos afectados de Microsoft IIS.

II. RESUMEN

HTTP/2 es la evolución del protocolo HTTP/1.1 y tiene como

objetivo mejorar la eficiencia en la comunicación web. Proporciona
mejoras significativas en rendimiento y eficiencia en comparación
con HTTP/1.1, incluyendo el uso de multiplexación, compresión de
cabeceras, push de servidor, entre otras características.

Cloudfare, en colaboración con Google y Amazon AWS, ha publicado

la existencia de una vulnerabilidad 0day denominada ataque "HTTP/2
Rapid Reset".

III. DESCRIPCIÓN
Se ha asignado el identificador:
CVE-2023-44487con vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H y puntaje 7,5.

P - PÚBLICA
IV. IMPACTO

La vulnerabilidad aprovecha un punto débil del protocolo HTTP/2,

permitiendo a los atacantes generar ataques DDoS hipervolumétricos.
El ataque consiste en enviar un gran número de streams HTTP/2 y
cancelarlos inmediatamente, creando una asimetría entre el cliente
y el servidor.

Esta vulnerabilidad podría permitir a un atacante, remoto no

autenticado, provocar un aumento en el uso de la CPU que podría
conducir a una condición de DDoS en el sistema afectado.

V. SOLUCIÓN

 Aplicar en los archivos de configuración de NGINX las

siguientes medidas de mitigación:
 keepalive_requests debe mantenerse en el valor
predeterminado de 1000 peticiones;
 http2_max_concurrent_streams debe mantenerse en la
configuración predeterminada de 128 flujos;
 limit_conn impone un límite al número de conexiones
permitidas desde un mismo cliente. Esta directiva debe
añadirse con una configuración razonable que equilibre el
rendimiento de la aplicación y la seguridad;
 limit_req impone un límite en el número de peticiones que
serán procesadas en un determinado periodo de tiempo desde
un único cliente. Esta directiva debe añadirse con una
configuración razonable que equilibre el rendimiento y la
seguridad de la aplicación.
 Actualizar Apache Tomcat a las versiones 8.5.94, 9.0.81 y
10.1.14.
 Desactivar el protocolo HTTP/2 en el servidor web mediante el
Registry Editor.
 Adicionalmente, como recomendaciones generales, eliminar la
referencia a http/2 en la parte de escucha del archivo de
configuración del servidor web y aplicar las recomendaciones
aportadas en el blog de Cloudfare.

VI. REFERENCIAS

https://blog.cloudflare.com/zero-day-rapid-reset-http2-record-
breaking-ddos-attack/

https://access.redhat.com/security/cve/cve-2023-44487#cve-cvss-v3

https://www.incibe.es/incibe-cert/alerta-
temprana/avisos/vulnerabilidad-0day-en-protocolo-http2-rapid-reset

P - PÚBLICA
------------------------------------------------------------------

CERT-MX Centro de Operaciones

------------------------------------------------------------------

Centro de Respuesta a Incidentes Cibernéticos

Guardia Nacional / Dirección General Científica

Teléfono: +52 55 52781300

extensiones 29138 y 29149.

Correo electrónico: cert-mx@gn.gob.mx

Reporte Phishing: phishing@gn.gob.mx

Malware Reporte: malware@gn.gob.mx

Vulnerabilidades: vulnerabilidades@gn.gob.mx

Llave PGP: 65B6722A63A5FEE5651808153F2360F57E6DE1EB

Dirección General Científica

Avenida Constituyentes, No. 947 colonia Belén

De las Flores, Delegación Álvaro Obregón.

C.P. 01110, Cd. de México.

AVISO DE CONFIDENCIALIDAD: El contenido de este correo electrónico

se transmite mediante infraestructura informática propiedad de
Gobierno Federal. Su destino es para el uso exclusivo de la
persona o entidad al cual está dirigido y puede contener
información confidencial, reservada o clasificada por la
legislación aplicable. Su revelación, modificación o reproducción
por cualquier medio constituye un delito en términos de lo
previsto por los artículos 210 y 211- bis Capítulo I del Código
Penal Federal. Si usted recibió esta información por error o no es
el destinatario de esta información, favor de borrarla de
cualquier sistema que resida e informar de forma inmediata al
remitente de este mensaje.

P - PÚBLICA