Por Angel Di Matteo 𝕏 @shadowargelInvestigadores de ciberseguridad revelaron una nueva vulnerabilidad denominada “HTTP/2 Bomb”, capaz de agotar rápidamente la memoria de servidores web ampliamente utilizados como NGINX, Apache HTTPD, Microsoft IIS, Envoy y Cloudflare Pingora. El hallazgo resulta especialmente llamativo porque fue identificado con ayuda de OpenAI Codex, una herramienta de inteligencia artificial para desarrollo de software.
***
- La vulnerabilidad afecta configuraciones predeterminadas de HTTP/2 en múltiples servidores populares.
- Un atacante podría consumir decenas de gigabytes de memoria utilizando recursos relativamente modestos.
- NGINX y Apache ya cuentan con mitigaciones, mientras otros proveedores aún trabajan en soluciones.
La seguridad de una parte importante de la infraestructura de Internet quedó bajo escrutinio esta semana tras la divulgación de una nueva técnica de denegación de servicio (DoS) bautizada como HTTP/2 Bomb.
Según un informe publicado por la firma Calif, reseñado por The Hacker News, la vulnerabilidad afecta el comportamiento predeterminado de varios de los servidores web más utilizados del mundo, incluyendo NGINX, Apache HTTPD, Microsoft IIS, Envoy y Cloudflare Pingora.
Lo más llamativo del descubrimiento es que la investigación contó con la ayuda de OpenAI Codex, que identificó una cadena de ataque capaz de combinar técnicas previamente conocidas para producir un efecto mucho más severo sobre los sistemas afectados.
Cómo funciona el ataque
La técnica combina dos mecanismos distintos. El primero aprovecha HPACK, el sistema de compresión de encabezados utilizado por HTTP/2 para reducir el tamaño de las comunicaciones entre clientes y servidores. El segundo utiliza una variante del conocido ataque Slowloris, una técnica que mantiene abiertas numerosas conexiones durante largos períodos para consumir recursos del servidor.
De acuerdo con Calif, el resultado es una situación en la que una cantidad mínima de datos enviada por el atacante puede obligar al servidor a reservar grandes cantidades de memoria que permanecen ocupadas indefinidamente.
Los investigadores explicaron que el ataque genera miles de asignaciones de memoria asociadas a encabezados extremadamente pequeños. Posteriormente, el atacante impide que esos recursos sean liberados utilizando mecanismos de control de flujo del protocolo HTTP/2.
En consecuencia, el servidor continúa acumulando memoria utilizada sin poder recuperarla, hasta llegar a niveles críticos.
Un computador doméstico podría causar interrupciones
Los resultados obtenidos durante las pruebas ilustran el potencial impacto de la vulnerabilidad.
Según los investigadores, una computadora doméstica conectada mediante una línea de 100 Mbps podría dejar fuera de servicio a un servidor vulnerable en cuestión de segundos. En algunos escenarios, un único cliente fue capaz de consumir y retener hasta 32 GB de memoria en aproximadamente 20 segundos contra implementaciones de Apache HTTPD y Envoy.
La gravedad del problema radica en que los límites tradicionales diseñados para mitigar ataques de compresión no llegan a activarse.
A diferencia de ataques similares reportados anteriormente, la amplificación no proviene del tamaño de los datos comprimidos, sino de las estructuras internas de memoria que el servidor crea para procesar cada encabezado. Por ello, las protecciones existentes pueden resultar insuficientes frente a esta nueva variante.
Una evolución de ataques conocidos
El informe señala que HTTP/2 Bomb toma inspiración de varias vulnerabilidades históricas relacionadas con HTTP/2.
Entre ellas figuran el denominado HPACK Bomb, revelado originalmente en 2016, así como diversas fallas posteriores que permitían agotamiento de memoria o saturación de hilos de procesamiento mediante solicitudes especialmente diseñadas.
Sin embargo, Calif sostiene que la nueva técnica introduce un enfoque diferente. Mientras los ataques clásicos buscaban expandir datos comprimidos hasta tamaños enormes, HTTP/2 Bomb explota el costo interno de administrar miles de entradas aparentemente inocuas, evitando así muchos de los mecanismos de defensa desarrollados durante los últimos años.
Mitigaciones disponibles
Tras la divulgación responsable del hallazgo, algunos proyectos ya publicaron soluciones.
En el caso de NGINX, la corrección fue incorporada en la versión 1.29.8, que introduce una nueva directiva denominada max_headers con un límite predeterminado de 1.000 encabezados. Para quienes no puedan actualizar inmediatamente, los investigadores recomiendan deshabilitar HTTP/2 temporalmente.
Por su parte, Apache HTTPD corrigió el problema en mod_http2 v2.0.41. Como medida alternativa, también se sugiere operar únicamente bajo HTTP/1.1 hasta completar la actualización.
Al momento de publicación del informe, Microsoft IIS, Envoy y Cloudflare Pingora aún no habían anunciado parches definitivos.
IA y ciberseguridad: una nueva etapa
El caso también ilustra cómo las herramientas de inteligencia artificial están comenzando a desempeñar un papel cada vez más relevante en la investigación de vulnerabilidades.
Aunque OpenAI Codex no descubrió la falla de manera autónoma, Calif destacó que la herramienta ayudó a identificar una combinación de técnicas previamente conocidas que terminó revelando un vector de ataque no documentado.
La situación refleja una tendencia creciente dentro de la industria: el uso de modelos de IA para acelerar auditorías de código, detectar errores complejos y descubrir posibles escenarios de explotación antes de que sean aprovechados por actores maliciosos.
Para administradores de infraestructura y equipos de seguridad, el hallazgo representa un recordatorio de que incluso protocolos ampliamente adoptados y analizados durante años pueden seguir ocultando comportamientos inesperados con potencial impacto a gran escala.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
OpenAI busca influir en la regulación de la IA y propone supervisión obligatoria de modelos avanzados
Bitcoin
Strategy y Bitmine acumulan pérdidas no realizadas por más de USD $15.000 millones tras desplome del mercado cripto
Empresas
Hackers vulneran datos de salud en Ultrahuman mediante herramienta de uso interno: informe
Empresas