Guai in vista per l’ultima revisione dello storico protocollo di rete HTTP, con la scoperta di otto diverse vulnerabilità di sicurezza potenzialmente sfruttabili dai criminali per condurre attacchi DoS/DDoS.
I ricercatori hanno individuato otto diverse vulnerabilità di sicurezza all’interno di HTTP/2, nuova versione del protocollo di rete alla base di server e browser pensato per migliorare la storica tecnologia del Web in quanto a sicurezza e prestazioni. Le falle potrebbero essere sfruttate per condurre attacchi di tipo denial of service, ma le più importanti aziende di rete sono già al lavoro per distribuire patch e aggiornare i server.
Adottato in pianta stabile da tutti i principali browser Web già alla fine del 2015, il protocollo HTTP/2 sarebbe al momento utilizzato dal 40% di tutti i siti oggi in circolazione. Le otto falle scoperte da Jonathan Looney (Netflix) e Piotr Sikora (Google) permettono a un client malevolo di provocare la risposta di un server vulnerabile, rifiutandosi poi di leggere il risultato e consumando una quantità eccessive di risorse hardware (CPU e memoria) a disposizione del server.
Nel peggiore dei casi, un attacco in grado di sfruttare le vulnerabilità di HTTP/2 potrebbe portare alla totale inabilità di risposta di un server vulnerabile in un vero e proprio attacco DoS; sfruttando le falle meno “efficienti”, invece, sarebbe possibile orchestrare un attacco distribuito di tipo DDoS.
Le nuove vulnerabilità identificate dai ricercatori (CVE-2019-9511, CVE-2019-9512, CVE-2019-9513, CVE-2019-9514, CVE-2019-9515, CVE-2019-9516, CVE-2019-9517, CVE-2019-9518) coinvolgono alcuni tra i principali protagonisti dell’economia e dell’infrastruttura del Web, nomi del calibro di Akamai, Cloudflare, Amazon, Apple, Facebook, Microsoft, il Web server Nginx, Node.js e altri.
Fortunatamente per la suddetta infrastruttura del Web, questa volta le aziende hanno preso molto sul serio i potenziali rischi impegnandosi in un piano di aggiornamenti in pieno divenire: Nginx ha corretto tre vulnerabilità con un update per la versione 1.17.3, Cloudflare ha annunciato bugfix per sette delle falle scovate nel codice del suddetto Web server, Apple ha aggiornato macOS (da Sierra in poi) così come ha fatto Microsoft con lo stack HTTP/2 di Windows (http.sys).