Redazione RHC : 15 agosto 2025 08:50
Se ha descubierto una falla de seguridad crítica en la implementación HTTP/2 de Apache Tomcat. Esta vulnerabilidad permite a los atacantes realizar ataques maliciosos de denegación de servicio (DoS) en servidores web.
La vulnerabilidad, identificada como CVE-2025-48989 y denominada el ataque «Made You Reset», afecta a varias versiones del popular contenedor de servlets de Java, dj, y representa riesgos significativos para las aplicaciones web en todo el mundo. La falla de seguridad, clasificada como grave, afecta a las versiones de Apache Tomcat de la 11.0.0-M1 a la 11.0.9, de la 10.1.0-M1 a la 10.1.43 y de la 9.0.0.M1 a la 9.0.107.
| Factores de riesgo | Detalles |
| Productos afectados | – Apache Tomcat de la 11.0.0-M1 a la 11.0.9 – Apache Tomcat de la 10.1.0-M1 a la 10.1.43 – Apache Tomcat de la 9.0.0.M1 a la 9.0.107 – Versiones anteriores al final de su vida útil (posiblemente afectadas) |
| Impacto | Denegación de servicio (DoS) |
| Requisitos de explotación | – Protocolo HTTP/2 habilitado en el servidor objetivo – Acceso a la red para enviar solicitudes HTTP/2 maliciosas – Capacidad para crear tramas de recuperación de flujo HTTP/2 – No se requiere autenticación |
La vulnerabilidad fue identificada por los investigadores de seguridad Gal Bar Nahum, Anat Bremler-Barr y Yaniv Harel de la Universidad de Tel Aviv, quienes publicaron sus hallazgos el 13 de agosto de 2025. Incluso versiones anteriores y descontinuadas podrían ser vulnerables, lo que podría afectar a miles de servidores web en todo el mundo. mundo.
El ataque «Made You Reset» explota las debilidades en la implementación del protocolo HTTP/2 de Tomcat, atacando el mecanismo de restablecimiento de la conexión. Si se ejecuta correctamente, el ataque se manifiesta como un OutOfMemoryError, que provoca que el servidor objetivo agote los recursos de memoria disponibles y deje de responder a las solicitudes legítimas.
La vulnerabilidad reside en la forma en que Tomcat gestiona los restablecimientos de flujos HTTP/2 y la gestión de conexiones. Los atacantes pueden crear solicitudes HTTP/2 maliciosas que obliguen al servidor a asignar recursos de memoria excesivos sin liberarlos correctamente. Este comportamiento de fuga de memoria puede activarse repetidamente, llegando a saturar la memoria disponible del servidor y desencadenar una denegación de servicio.
El vector de ataque explota la función de multiplexación HTTP/2, que permite procesar múltiples flujos simultáneamente en una única conexión TCP.
Al manipular las tramas de recuperación de flujo y la gestión del estado de conexión, los atacantes pueden obligar a Tomcat a mantener numerosas conexiones semiabiertas o estados de flujo incompletos, lo que resulta en el agotamiento de recursos.
RedazioneLa Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
El 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...
La reciente confirmación por parte de Zscaler de una filtración de datos resultante de un ataque a la cadena de suministro constituye un caso práctico sobre la evolución de las amenazas contra eco...
