Redazione RHC : 19 julio 2025 09:13
El equipo de Apache corrigió recientemente una vulnerabilidad de denegación de servicio (DoS) clasificada como de alta gravedad. Hay un nuevo huésped inconveniente en centros de datos de todo el mundo. Se llama CVE-2025-53506 y no hace ruido como un ransomware, no se manifiesta con ventanas emergentes molestas ni robos espectaculares. No, esta vulnerabilidad prefiere actuar silenciosamente, bloqueando quirúrgicamente los servidores Apache Tomcat, sin requerir privilegios, interacción ni exploits complejos. Una auténtica bomba lógica de bajo coste.
Afortunadamente, Apache actuó con rapidez. El 11 de julio de 2025, lanzó un parche para este error clasificado como una denegación de servicio (DoS) de alta gravedad, que afecta específicamente a la implementación de HTTP/2 en el popular servidor web Java. El equipo de Insikt Group de Recorded Future también dio la voz de alarma y publicó un análisis detallado que confirmaba la ausencia de exploits activos al momento de la divulgación, pero recomendaba mantener la vigilancia.
HTTP/2, el protocolo creado para acelerar la comunicación web, gestiona las conexiones TLS mediante un intercambio de «tramas» iniciales entre el cliente y el servidor, incluyendo el infame SETTINGS. Y aquí está el problema: si el cliente no envía el SETTINGS ACK, el servidor Apache Tomcat no puede aplicar el límite máximo de transmisiones simultáneas. Cada flujo está asociado a un hilo, lo que permite al atacante simplemente abrir cientos (o miles) de conexiones, agotando el grupo de hilos y bloqueando el servicio, sin violar los firewalls ni generar tráfico anómalo.
No se requieren privilegios. No se requiere intervención del usuario. No se requieren exploits al estilo Hollywood. Simplemente un abuso astuto del comportamiento previsto del protocolo. Esto hace que el ataque:
La puntuación CVSS v4 asignada por Recorded Future es 6,9, técnicamente clasificada como «Media», pero En la práctica, el impacto puede ser crítico, especialmente en arquitecturas de contenedores o microservicios, donde cada bloque puede tener un efecto en cascada.
Según la lista de correo oficial de Apache y el aviso en GitHub, las versiones vulnerables Incluir:
El consejo, tan claro como siempre: actualicen inmediatamente a Tomcat 11.0.9, 10.1.43 o 9.0.107, donde el error se ha corregido definitivamente. Los parches refuerzan el control de flujo e introducen comportamientos alternativos en caso de que no se reciba la confirmación de configuración (SETTINGS ACK).
El análisis de Recorded Future aclara que aún no se han observado campañas de ataque activas que exploten esta vulnerabilidad. Pero cuidado: en el ciclo de vida de un CVE, el periodo entre la divulgación y su uso como arma suele ser muy corto.
El interés de la comunidad cibercriminal crece proporcionalmente a la disponibilidad de PoC (Pruebas de Concepto) públicas. Y considerando que el exploit es fácil de reproducir con unos pocos scripts de Python o herramientas de prueba HTTP/2, es probable que CVE-2025-53506 se incorpore a las herramientas de denegación de servicio (DoS) de actores maliciosos en unas pocas semanas, especialmente en contextos de hacktivismo o para ataques destructivos dirigidos.
Si administra infraestructura expuesta a internet (por ejemplo, portales, puertas de enlace API, backends RESTful) y tiene HTTP/2 habilitado en Tomcat, actúe ahora. Posibles acciones:
La vulnerabilidad se ha mapeado como CWE-400 (Consumo Incontrolado de Recursos), un clásico atemporal en las pruebas de resiliencia que regresa periódicamente en nuevas formas.
Este caso confirma una vez más que la seguridad no es solo cuestión de exploits, sino también de diseño. Cuando un protocolo tan extendido como HTTP/2 permite un ataque DoS «por diseño» sin controles específicos, es evidente que la resiliencia de la infraestructura depende de cada detalle: tiempos de espera, confirmaciones, límites de flujo. Cada detalle cuenta.
Gracias a Apache por la rápida respuesta. Pero ahora les toca a quienes gestionan, parchean, monitorean y defienden. Y posiblemente… duerma tranquilo.
RedazioneSería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...
Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...
