La vulnerabilidad del servidor de tráfico de Apache hace que los atacantes soliciten solicitudes de contrabando

Se ha descubierto una vulnerabilidad de seguridad crítica en el servidor de tráfico Apache (ATS). Al aprovechar la forma en que el servidor procesa los mensajes fragmentados, los atacantes pueden llevar a cabo ataques de contrabando de demanda.

La vulnerabilidad rastreada como CVE-2024-53868 afecta múltiples versiones de este servidor proxy HTTP de alto rendimiento y requiere atención inmediata del administrador del sistema.

Según el aviso, la vulnerabilidad proviene de una falla en la forma en que Apache Traffic Server maneja la codificación de reenvío de fragmentos HTTP. Esta es una forma de enviar datos en una serie de fragmentos en lugar de a la vez.

Al procesar mensajes de fragmentación malformada, ATS no puede verificar adecuadamente el formato de mensaje, creando una brecha de seguridad que puede ser explotada por actores maliciosos.

Específicamente, este problema implica cómo el ATS maneja el cuerpo de mensajes de fragmentación malformada. Según los hallazgos de problemas relacionados con GitHub, ATS acepta y reenvía de manera inapropiada las solicitudes que contienen elementos de formato no válidos, como los retornos de transporte dentro de los espacios en blanco, donde solo se permiten espacios y pestañas.

Vulnerabilidad del servidor de tráfico de Apache

Además, en lugar de requerir una secuencia estándar de retorno de carro + alimentación de línea (CRLF), ATS acepta caracteres de alimentación de línea desnuda (LF) como terminaciones de línea dentro del cuerpo del mensaje fragmentado.

Por ejemplo, la codificación hacia adelante: cuando se envía una solicitud HTTP a un servidor ATS que se creó específicamente utilizando un encabezado de fragmento con un formato de fragmento intencionalmente deformado, el servidor lo maneja de una manera diferente a la forma en que el servidor de backend interpreta la misma solicitud.

Esta contradicción crea una oportunidad para exigir el contrabando.

El ejemplo anterior muestra cómo el ATS acepta el extremo inapropiado de una línea (representado como \ n) de un mensaje cargado y se reenvía al servidor de backend sin una normalización adecuada.

A continuación se muestra una descripción general de la vulnerabilidad:

Los factores de riesgo están aislados
Versiones de tráfico de productos de productos afectados (ATS) Versiones 9.2.0-9.2.9 y 10.0.0-10.0.4
ADICCIÓN DE AL CACHE IMPACT, Bypass de control de seguridad, secuestro de sesión
PREERERECHISITISA Solicitud HTTP especialmente creada utilizando el puntaje CVSS 3.1 de la codificación de reenvío de fragmentos 6.5 (medio)

Impacto de la seguridad

Esta vulnerabilidad de contrabando de solicitud plantea varios riesgos graves.

Evitar controles de seguridad: los atacantes pueden pasar por alto los firewalls de aplicaciones web o las listas de control de acceso diseñadas para proteger los servidores de fondo. Adicción al caché: al manipular cómo se interpretan las solicitudes, los atacantes pueden envenenar cachés de servidor y afectar las respuestas enviadas a usuarios legales. Secuestro de sesión: en ciertos escenarios, un atacante puede interceptar o manipular una sesión de usuario y obtener acceso no autorizado a una cuenta sensible. Exposición a los datos: una vulnerabilidad puede conducir a la exposición inconsistente del procesamiento de solicitudes de información confidencial.

A la vulnerabilidad se le asigna una puntuación base CVSS de 6.5, lo que indica un nivel de gravedad moderado.

Las siguientes versiones del servidor de tráfico Apache son vulnerables a CVE-2024-53868:

ATS 9.0.0 a 9.2.9 ATS 10.0.0 a 10.0.4

Procedimiento de mitigación

Las organizaciones que usan el servidor de tráfico Apache deben implementar las siguientes medidas de mitigación inmediatamente:

Actualización a una versión parcheada:

Para usuarios de la rama 9.X: actualice a la versión 9.2.10 o posterior de 10.x. Usuario de la rama: Actualice a la versión 10.0.5 o posterior para restringir el acceso de la red a los servidores de tráfico Apache.

La Apache Software Foundation lanzó estas actualizaciones de seguridad el 2 de abril de 2025, abordando las vulnerabilidades actualmente disponibles en el repositorio del proyecto.

Dado el uso generalizado del servidor de tráfico Apache en las redes de entrega de contenido (CDN) y los sitios web de alto tráfico, se alienta a los administradores a priorizar estas actualizaciones para proteger su infraestructura de la posible explotación.

Investigue los enlaces maliciosos del mundo real y los ataques de phishing con búsqueda de inteligencia de amenazas: pruebe 50 solicitudes gratuitas