La comunidad cibernética ha estado al tanto de la reciente divulgación de la vulnerabilidad HTTP/2 Rapid Reset, identificada como CVE-2023-44487. Esta vulnerabilidad en el protocolo HTTP/2 permitiría a los ciberdelincuentes llevar a cabo ataques de denegación de servicio contra servidores web, proxies inversos y otros software que procesan tráfico HTTP/2. Sin embargo, HAProxy, una solución reconocida en este ámbito, ha confirmado que sus productos no se ven afectados por este fallo de seguridad.
Desde su publicación en 2018, la versión HAProxy 1.9 y sus sucesoras han incorporado una serie de medidas de seguridad que les confieren resistencia ante este tipo de amenazas. Estas medidas se aplican a todos los productos de la línea HAProxy, incluyendo HAProxy Enterprise, HAProxy Enterprise Kubernetes Ingress Controller y HAProxy ALOHA.
¿Por qué HAProxy no está afectado?
La vulnerabilidad CVE-2023-44487 aprovecha el protocolo HTTP/2, específicamente la función de multiplexación de stream, para abusar de la función de cancelación de solicitudes de HTTP/2. Algunos servidores, al ser bombardeados con un gran número de resets simultáneos, pueden acumular una excesiva retención de procesos, lo que resulta en un consumo exorbitante de recursos.
HAProxy, con su firme compromiso de resistir comportamientos maliciosos, ha desarrollado estrategias que impiden la explotación de este fallo. Al rastrear el número actual de streams activos y gestionar adecuadamente los límites de estos streams, HAProxy previene que el Rapid Reset tenga un impacto significativo en sus operaciones.
Pruebas de resistencia frente al ataque
Para confirmar la invulnerabilidad frente al CVE-2023-44487, se llevaron a cabo pruebas internas en HAProxy utilizando una variedad de casos y simulaciones de ataque. Los resultados mostraron que HAProxy es capaz de manejar una gran cantidad de solicitudes por segundo sin degradar su rendimiento, y no mostró signos de vulnerabilidad ante las simulaciones de ataque.
En resumen
HAProxy ha demostrado una vez más su robustez y resistencia ante posibles amenazas, garantizando a sus clientes un servicio seguro y optimizado. El reciente ataque HTTP/2 Rapid Reset no ha logrado penetrar sus defensas, y aquellos que utilizan HAProxy pueden estar seguros de que están protegidos contra esta vulnerabilidad específica. Es un recordatorio de la importancia de mantener sistemas y protocolos actualizados y bien configurados para garantizar la ciberseguridad.
Vía: HAProxy
