Falla en Apache Tomcat obliga al servidor a realizar ataques DoS contra sí mismo y contra la red

Especialistas de un diplomado de ciberseguridad reportan el hallazgo de una vulnerabilidad en Apache Tomcat, el contenedor de servlets desarrollado bajo el proyecto Jakarta de Apache Software Foundation. Acorde al reporte, la explotación exitosa de esta vulnerabilidad permitiría el despliegue de ataques de denegación de servicio (DoS) contra la implementación afectada.

A continuación se presenta una breve descripción de la falla reportada, además de su respectivo puntaje y clave de identificación según el Common Vulnerability Scoring System (CVSS).

CVE-2020-11996: La inadecuada gestión de los recursos internos en la aplicación al procesar solicitudes HTTP/2 permitiría a los hackers remotos realizar ataques de denegación de servicios (DoS). Los actores de amenazas podrían enviar una secuencia de solicitudes HTTP/2 especialmente diseñadas para desencadenar un alto consumo del CPU por varios segundos, lo que eventualmente generará la condición DoS.   

Según mencionan los especialistas del diplomado de ciberseguridad, la vulnerabilidad recibió un puntaje de 6.5/10 en la escala CVSS, por lo que se le considera un error de severidad media.

A continuación se presenta un listado de las versiones de Apache Tomcat afectadas por esta falla de seguridad: 8.5.0, 8.5.1, 8.5.2, 8.5.3, 8.5.4, 8.5.5, 8.5.6, 8.5.7, 8.5.8, 8.5.9, 8.5.10, 8.5.11, 8.5.12, 8.5.13, 8.5.14, 8.5.15, 8.5.16, 8.5.17, 8.5.18, 8.5.19, 8.5.20, 8.5.21, 8.5.22, 8.5.23, 8.5.24, 8.5.25, 8.5.26, 8.5.27, 8.5.28, 8.5.29, 8.5.30, 8.5.31, 8.5.32, 8.5.33, 8.5.34, 8.5.35, 8.5.36, 8.5.37, 8.5.38, 8.5.39, 8.5.40, 8.5.41, 8.5.42, 8.5.43, 8.5.44, 8.5.45, 8.5.46, 8.5.47, 8.5.48, 8.5.49, 8.5.50, 8.5.51, 8.5.52, 8.5.53, 8.5.54, 8.5.55, 9.0.0, 9.0.0-M1, 9.0.0-M2, 9.0.0-M3, 9.0.0-M4, 9.0.0-M5, 9.0.0-M6, 9.0.0-M7, 9.0.0-M8, 9.0.0-M9, 9.0.0-M10, 9.0.0-M11, 9.0.0-M12, 9.0.0-M13, 9.0.0-M14, 9.0.0-M15, 9.0.0-M16, 9.0.0-M17, 9.0.0-M18, 9.0.0-M19, 9.0.0-M20, 9.0.0-M21, 9.0.0-M22, 9.0.0-M23, 9.0.0-M24, 9.0.0-M25, 9.0.0-M26, 9.0.0-M27, 9.0.1, 9.0.2, 9.0.3, 9.0.4, 9.0.5, 9.0.6, 9.0.7, 9.0.8, 9.0.9, 9.0.10, 9.0.11, 9.0.12, 9.0.13, 9.0.14, 9.0.15, 9.0.16, 9.0.17, 9.0.18, 9.0.19, 9.0.20, 9.0.21, 9.0.22, 9.0.23, 9.0.24, 9.0.25, 9.0.26, 9.0.27, 9.0.28, 9.0.29, 9.0.30, 9.0.31, 9.0.32, 9.0.33, 9.0.34, 9.0.35, 10.0.0-M1, 10.0.0-M2, 10.0.0-M3, 10.0.0-M4, 10.0.0-M5, 10.0.0.0-M1.

A pesar de que los expertos del diplomado de ciberseguridad demostraron que la falla podría ser explotada de forma remota por actores de amenazas no autenticados a través de Internet, no se han detectado casos de explotación activa hasta el momento. Los investigadores también desconocen si existe alguna variante de malware asociada a la explotación de esta falla.

El equipo detrás de Apache Tomcat reconoció la falla y comenzó a trabajar en una corrección inmediatamente después de recibir el reporte. Las actualizaciones ya están disponibles, por lo que los administradores de implementaciones afectadas solo deben verificar su instalación.

 Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.