Se ha detectado una falla crítica en el protocolo HTTP/2 que permite ataques de denegación de servicio remotos. Servidores populares como NGINX, Apache, IIS, Envoy y Cloudflare están expuestos. Los atacantes pueden dejar sitios web fuera de línea, afectando compras, trámites o información cotidiana. La solución inmediata es aplicar parches de seguridad para evitar caídas en servicios esenciales.
El fallo explota la gestión de flujos en HTTP/2 🔥
La vulnerabilidad reside en cómo HTTP/2 maneja los flujos concurrentes. Un atacante envía múltiples solicitudes que obligan al servidor a consumir memoria y CPU hasta colapsar. Afecta a configuraciones por defecto en NGINX, Apache, IIS y Envoy. Cloudflare ya implementó mitigaciones, pero los administradores deben verificar sus versiones. Sin parche, un solo ataque puede tumbar un servicio crítico sin necesidad de gran ancho de banda.
Otra razón para no dormir tranquilo como sysadmin 😅
Por si no tenías suficiente con parchear Log4j, SSL y el kernel cada martes, ahora HTTP/2 te regala una nueva pesadilla. Lo mejor es que el fallo permite tirar tu servidor con menos esfuerzo del que pones en justificar por qué no actualizaste. Así que ya sabes: café, parche y rezar para que los atacantes tengan mejores cosas que hacer un domingo.