Se ha descubierto una vulnerabilidad de seguridad crítica en la implementación HTTP/2 de Apache Tomcat, lo que permite a los atacantes lanzar ataques devastadores de denegación de servicio (DOS) contra servidores web.
La vulnerabilidad, designada como CVE-2025-48989 y denominada el ataque de “Reiniciarte”, afecta múltiples versiones del popular contenedor de servlet Java y plantea riesgos significativos para las aplicaciones web en todo el mundo.
La falla de seguridad, calificada como alta gravedad, impacta las versiones de Apache Tomcat 11.0.0-M1 a 11.0.9, 10.1.0-m1 a 10.1.43 y 9.0.0.m1 a 9.0.107.
Control de llave
1. Fola HTTP/2 de Apache Tomcat permite que los atacantes se bloqueen los servidores.
2. Afecta las versiones de Tomcat 9.0.0-11.0.9, lo que puede afectar a miles de servidores web a nivel mundial.
3. Actualice inmediatamente para evitar la explotación.
Las versiones más antiguas para el final de la vida también pueden ser vulnerables, lo que puede afectar a miles de servidores web a nivel mundial.
La vulnerabilidad fue identificada por los investigadores de seguridad Gal Bar Nahum, Anat Bremler-Barr y Yaniv Harel de la Universidad de Tel Aviv, quienes revelaron sus hallazgos el 13 de agosto de 2025.
Explotación de HTTP/2 en Apache Tomcat
El ataque de “reiniciar” de “te hizo reiniciar” las debilidades en la implementación del protocolo HTTP/2 de Tomcat, que se dirige específicamente al mecanismo de reinicio de la conexión.
Cuando se ejecuta con éxito, el ataque generalmente se manifiesta como un OutOfMemoryError, lo que hace que el servidor objetivo agote sus recursos de memoria disponibles y no responda a las solicitudes legítimas.
La vulnerabilidad radica en cómo Tomcat maneja HTTP/2 la secuencia de la secuencia y la gestión de la conexión. Los atacantes pueden crear solicitudes HTTP/2 maliciosas que obligan al servidor a asignar recursos de memoria excesivos sin liberarlos adecuadamente.
Este comportamiento de fuga de memoria se puede activar repetidamente, eventualmente abrumando el grupo de memoria disponible del servidor y activando una condición de denegación de servicio.
El vector de ataque aprovecha la función de multiplexación HTTP/2, donde se pueden procesar múltiples secuencias simultáneamente a través de una sola conexión TCP.
Al manipular la corriente de restablecimiento de marcos y la gestión del estado de conexión, los atacantes pueden obligar a Tomcat a mantener numerosas conexiones medio abiertas o estados de flujo incompletos, lo que lleva al agotamiento de los recursos.
Factores de riesgo Los productos afectados por Details: apache tomcat 11.0.0.0-m1 a 11.0.9- apache tomcat 10.1.0-m1 a 10.1.43- apache tomcat 9.0.0.m1 a 9.0.107- versiones de EOL más antiguas (potencialmente afectados) impactante de servicio (dos) actackexploit a los prerreques de http/2 Para enviar solicitudes HTTP/2 maliciosas: la capacidad de crear marcos de restablecimiento de transmisión HTTP/2: no se requiere autenticación SEVERITYHIGH
Mitigaciones
La Fundación Apache Software ha lanzado versiones parcheadas Para abordar esta vulnerabilidad crítica. Las organizaciones que ejecutan las versiones afectadas de TOMCAT deben actualizarse inmediatamente a Apache Tomcat 11.0.10, 10.1.44, o 9.0.108 o versiones posteriores.
Estas actualizaciones incluyen correcciones para la implementación HTTP/2 que impiden el vector de ataque “Reiniciarlo”.
Los administradores del sistema deben priorizar estas actualizaciones, particularmente para las aplicaciones web de orientación pública que aceptan conexiones HTTP/2.
La calificación de alta gravedad de la vulnerabilidad indica que la explotación exitosa podría afectar significativamente la disponibilidad de servicios y las operaciones comerciales.
Los equipos de seguridad también deben monitorear sus instalaciones de Tomcat para patrones de consumo de memoria inusuales e implementar protecciones adicionales a nivel de red, como limitación de tarifas y aceleraciones de conexión, para mitigar los posibles ataques mientras se están implementando parches en su infraestructura.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
