Una vulnerabilidad de denegación de servicio recientemente descubierta en el motor de firewall de aplicaciones web de modas de seguridad (WAF) tiene expertos en seguridad en alerta máxima.
El defecto, designado CVE-2025-52891, afecta versiones específicas de MOD_Security2 y puede activarse procesando solicitudes XML que contienen etiquetas vacías, lo que puede causar una interrupción completa del servicio.
La vulnerabilidad impacta las versiones MOD_SECURITY2 2.9.8, 2.9.9 y 2.9.10, pero solo cuando los administradores han habilitado la función SecParsexMlintoargs.
Esta funcionalidad relativamente nueva, que analiza los nodos XML en las rutas ARG y del nodo en args_names para un mayor monitoreo de seguridad, se convierte en una responsabilidad al procesar el contenido XML malformado.
ModSecurity es ampliamente reconocida como la “navaja suiza del ejército” de WAFS y sirve como el motor estándar de firewall de aplicaciones web de código abierto utilizado por empresas, organizaciones gubernamentales, proveedores de servicios de Internet y proveedores comerciales de WAF en todo el mundo.
Inicialmente diseñado para el servidor Apache HTTP, ha evolucionado para admitir múltiples plataformas, incluidas Microsoft IIS y NGINX.
La vulnerabilidad proviene del manejo inadecuado de etiquetas XML vacías durante el proceso de análisis. Cuando SecParsexmlintoargs se establece en “On” o “Onlyargs” y el sistema recibe contenido XML con “Aplicación/XML” de tipo contenido que contiene al menos una etiqueta vacía (como), se produce una falla de segmentación.
La causa raíz radica en el uso de la función strlen () para calcular la longitud de los valores del nodo XML. Al procesar nodos vacíos, strlen () se aplica a un valor nulo, activando el bloqueo.
Esto representa una vulnerabilidad clásica de deserción del puntero nulo, donde el programa intenta acceder a la memoria que no ha sido asignada o ha sido desasignada.
Impacto y explotación
Los investigadores de seguridad califican esta vulnerabilidad con una puntuación CVSS moderada de 6.5/10, principalmente debido a los requisitos de configuración específicos necesarios para la explotación. Sin embargo, el impacto puede ser severo para los sistemas afectados:
Disprobación completa del servicio a través de ataques de denegación de servicio Clasivos del servidor que requieren reinicio manual No se requiere autenticación para la explotación Vector de ataque remoto que habilita los ataques desde cualquier lugar de Internet
La vulnerabilidad solo afecta a las instalaciones MOD_SECURITY2 y no afecta a LibModSecurity3, que se implementa en C ++ y no usa la función problemática strlen (). Esta diferencia arquitectónica destaca la importancia de las prácticas de codificación seguras en diferentes lenguajes de programación.
Se descubrió la vulnerabilidad y reportado por Andrew Howe (@redxanadu), un experto en ciberseguridad con sede en Melbourne, Australia. Howe es conocido en la comunidad de seguridad por su investigación de seguridad de código abierto y contribuciones a las metodologías de prueba de penetración.
Su trabajo ha aparecido en libros de texto de seguridad, documentos académicos y metodologías profesionales, incluida la Guía de Pruebas OWASP.
Estrategias de mitigación
Los administradores del sistema tienen varias opciones para proteger sus instalaciones:
Solución inmediata: Establezca SecParsexMlintoargs para “apagar” en la configuración de modas de modificación. Dado que esta es la configuración predeterminada, muchas instalaciones ya pueden estar protegidas. Solución a largo plazo: aplique el próximo parche de seguridad cuando esté disponible. El equipo de modas de modificación OWASP ha reconocido la vulnerabilidad e indicó que un parche está en desarrollo. Revisión de configuración: Auditor de configuraciones de modas de modificación actuales para identificar sistemas utilizando la función SecParsexMlintoargs y evaluar la necesidad de esta funcionalidad para casos de uso específicos.
Esta vulnerabilidad representa lo último de una serie de problemas de seguridad que afectan las instalaciones de modas de modificación. A principios de 2025, la plataforma enfrentó otras vulnerabilidades significativas, incluida la CVE-2025-48866, una falla de denegación de servicio de alta severidad relacionada con la acción de “sanitisearg” que podría explotarse al presentar un número excesivo de argumentos.
El descubrimiento de CVE-2025-52891 subraya los desafíos de seguridad en curso que enfrentan los firewalls de aplicaciones web, que sirven como primera línea crítica de defensa contra ataques basados en la web. A medida que estos sistemas procesan el tráfico web cada vez más complejo y diverso, incluidas las cargas útiles XML, la superficie de ataque continúa expandiéndose.
El Proyecto de Modsecuridad OWASP, que pasó de la custodia de Trustwave a OWASP a principios de 2024, ha estado abordando activamente los problemas de seguridad e implementando mejoras en la plataforma. La organización ha establecido nuevos procesos de desarrollo e iniciativas de participación comunitaria para fomentar mejoras continuas de seguridad.
Los expertos en seguridad recomiendan que las organizaciones que ejecutan la seguridad modificada realicen evaluaciones inmediatas de sus configuraciones e implementen medidas de mitigación apropiadas. El vector de ataque relativamente estrecho que requiere configuraciones de configuración específicas puede limitar la explotación generalizada, pero los sistemas afectados siguen siendo vulnerables hasta que se parquee o reconfigurar adecuadamente.
Este incidente sirve como un recordatorio de que incluso las aplicaciones centradas en la seguridad como los firewalls de aplicaciones web requieren una vigilancia continua y parches rápidos para mantener sus capacidades de protección contra las amenazas en evolución.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
