Redazione RHC : 19 julio 2025 09:13
El equipo de Apache corrigió recientemente una vulnerabilidad de denegación de servicio (DoS) clasificada como de alta gravedad. Hay un nuevo huésped inconveniente en centros de datos de todo el mundo. Se llama CVE-2025-53506 y no hace ruido como un ransomware, no se manifiesta con ventanas emergentes molestas ni robos espectaculares. No, esta vulnerabilidad prefiere actuar silenciosamente, bloqueando quirúrgicamente los servidores Apache Tomcat, sin requerir privilegios, interacción ni exploits complejos. Una auténtica bomba lógica de bajo coste.
Afortunadamente, Apache actuó con rapidez. El 11 de julio de 2025, lanzó un parche para este error clasificado como una denegación de servicio (DoS) de alta gravedad, que afecta específicamente a la implementación de HTTP/2 en el popular servidor web Java. El equipo de Insikt Group de Recorded Future también dio la voz de alarma y publicó un análisis detallado que confirmaba la ausencia de exploits activos al momento de la divulgación, pero recomendaba mantener la vigilancia.
HTTP/2, el protocolo creado para acelerar la comunicación web, gestiona las conexiones TLS mediante un intercambio de «tramas» iniciales entre el cliente y el servidor, incluyendo el infame SETTINGS. Y aquí está el problema: si el cliente no envía el SETTINGS ACK, el servidor Apache Tomcat no puede aplicar el límite máximo de transmisiones simultáneas. Cada flujo está asociado a un hilo, lo que permite al atacante simplemente abrir cientos (o miles) de conexiones, agotando el grupo de hilos y bloqueando el servicio, sin violar los firewalls ni generar tráfico anómalo.
No se requieren privilegios. No se requiere intervención del usuario. No se requieren exploits al estilo Hollywood. Simplemente un abuso astuto del comportamiento previsto del protocolo. Esto hace que el ataque:
La puntuación CVSS v4 asignada por Recorded Future es 6,9, técnicamente clasificada como «Media», pero En la práctica, el impacto puede ser crítico, especialmente en arquitecturas de contenedores o microservicios, donde cada bloque puede tener un efecto en cascada.
Según la lista de correo oficial de Apache y el aviso en GitHub, las versiones vulnerables Incluir:
El consejo, tan claro como siempre: actualicen inmediatamente a Tomcat 11.0.9, 10.1.43 o 9.0.107, donde el error se ha corregido definitivamente. Los parches refuerzan el control de flujo e introducen comportamientos alternativos en caso de que no se reciba la confirmación de configuración (SETTINGS ACK).
El análisis de Recorded Future aclara que aún no se han observado campañas de ataque activas que exploten esta vulnerabilidad. Pero cuidado: en el ciclo de vida de un CVE, el periodo entre la divulgación y su uso como arma suele ser muy corto.
El interés de la comunidad cibercriminal crece proporcionalmente a la disponibilidad de PoC (Pruebas de Concepto) públicas. Y considerando que el exploit es fácil de reproducir con unos pocos scripts de Python o herramientas de prueba HTTP/2, es probable que CVE-2025-53506 se incorpore a las herramientas de denegación de servicio (DoS) de actores maliciosos en unas pocas semanas, especialmente en contextos de hacktivismo o para ataques destructivos dirigidos.
Si administra infraestructura expuesta a internet (por ejemplo, portales, puertas de enlace API, backends RESTful) y tiene HTTP/2 habilitado en Tomcat, actúe ahora. Posibles acciones:
La vulnerabilidad se ha mapeado como CWE-400 (Consumo Incontrolado de Recursos), un clásico atemporal en las pruebas de resiliencia que regresa periódicamente en nuevas formas.
Este caso confirma una vez más que la seguridad no es solo cuestión de exploits, sino también de diseño. Cuando un protocolo tan extendido como HTTP/2 permite un ataque DoS «por diseño» sin controles específicos, es evidente que la resiliencia de la infraestructura depende de cada detalle: tiempos de espera, confirmaciones, límites de flujo. Cada detalle cuenta.
Gracias a Apache por la rápida respuesta. Pero ahora les toca a quienes gestionan, parchean, monitorean y defienden. Y posiblemente… duerma tranquilo.
RedazioneLos piratas informáticos apuntan cada vez más a las copias de seguridad: no a los sistemas o servidores, sino a los datos que las empresas conservan durante un período de tiempo limitado para poder...
Dos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
