Redazione RHC : 19 julio 2025 09:13
El equipo de Apache corrigió recientemente una vulnerabilidad de denegación de servicio (DoS) clasificada como de alta gravedad. Hay un nuevo huésped inconveniente en centros de datos de todo el mundo. Se llama CVE-2025-53506 y no hace ruido como un ransomware, no se manifiesta con ventanas emergentes molestas ni robos espectaculares. No, esta vulnerabilidad prefiere actuar silenciosamente, bloqueando quirúrgicamente los servidores Apache Tomcat, sin requerir privilegios, interacción ni exploits complejos. Una auténtica bomba lógica de bajo coste.
Afortunadamente, Apache actuó con rapidez. El 11 de julio de 2025, lanzó un parche para este error clasificado como una denegación de servicio (DoS) de alta gravedad, que afecta específicamente a la implementación de HTTP/2 en el popular servidor web Java. El equipo de Insikt Group de Recorded Future también dio la voz de alarma y publicó un análisis detallado que confirmaba la ausencia de exploits activos al momento de la divulgación, pero recomendaba mantener la vigilancia.
HTTP/2, el protocolo creado para acelerar la comunicación web, gestiona las conexiones TLS mediante un intercambio de «tramas» iniciales entre el cliente y el servidor, incluyendo el infame SETTINGS. Y aquí está el problema: si el cliente no envía el SETTINGS ACK, el servidor Apache Tomcat no puede aplicar el límite máximo de transmisiones simultáneas. Cada flujo está asociado a un hilo, lo que permite al atacante simplemente abrir cientos (o miles) de conexiones, agotando el grupo de hilos y bloqueando el servicio, sin violar los firewalls ni generar tráfico anómalo.
No se requieren privilegios. No se requiere intervención del usuario. No se requieren exploits al estilo Hollywood. Simplemente un abuso astuto del comportamiento previsto del protocolo. Esto hace que el ataque:
La puntuación CVSS v4 asignada por Recorded Future es 6,9, técnicamente clasificada como «Media», pero En la práctica, el impacto puede ser crítico, especialmente en arquitecturas de contenedores o microservicios, donde cada bloque puede tener un efecto en cascada.
Según la lista de correo oficial de Apache y el aviso en GitHub, las versiones vulnerables Incluir:
El consejo, tan claro como siempre: actualicen inmediatamente a Tomcat 11.0.9, 10.1.43 o 9.0.107, donde el error se ha corregido definitivamente. Los parches refuerzan el control de flujo e introducen comportamientos alternativos en caso de que no se reciba la confirmación de configuración (SETTINGS ACK).
El análisis de Recorded Future aclara que aún no se han observado campañas de ataque activas que exploten esta vulnerabilidad. Pero cuidado: en el ciclo de vida de un CVE, el periodo entre la divulgación y su uso como arma suele ser muy corto.
El interés de la comunidad cibercriminal crece proporcionalmente a la disponibilidad de PoC (Pruebas de Concepto) públicas. Y considerando que el exploit es fácil de reproducir con unos pocos scripts de Python o herramientas de prueba HTTP/2, es probable que CVE-2025-53506 se incorpore a las herramientas de denegación de servicio (DoS) de actores maliciosos en unas pocas semanas, especialmente en contextos de hacktivismo o para ataques destructivos dirigidos.
Si administra infraestructura expuesta a internet (por ejemplo, portales, puertas de enlace API, backends RESTful) y tiene HTTP/2 habilitado en Tomcat, actúe ahora. Posibles acciones:
La vulnerabilidad se ha mapeado como CWE-400 (Consumo Incontrolado de Recursos), un clásico atemporal en las pruebas de resiliencia que regresa periódicamente en nuevas formas.
Este caso confirma una vez más que la seguridad no es solo cuestión de exploits, sino también de diseño. Cuando un protocolo tan extendido como HTTP/2 permite un ataque DoS «por diseño» sin controles específicos, es evidente que la resiliencia de la infraestructura depende de cada detalle: tiempos de espera, confirmaciones, límites de flujo. Cada detalle cuenta.
Gracias a Apache por la rápida respuesta. Pero ahora les toca a quienes gestionan, parchean, monitorean y defienden. Y posiblemente… duerma tranquilo.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
