Una vulnerabilidad crítica previa al handshake en la implementación de LSQUIC QUIC que permite a los atacantes remotos bloquear a los servidores a través de ataques de agotamiento de la memoria.
La vulnerabilidad, designada CVE-2025-54939 y denominada “Quic-Leak”, afecta la segunda implementación de Quic más utilizada a nivel mundial, lo que puede afectar más del 34% de los sitios web habilitados para HTTP/3 que dependen de las tecnologías de Litespeed.
Control de llave
1. CVE-2025-54939 Permite DOS remotos a través del agotamiento de la memoria en los servidores Quic.
2. Afecta el 14% de los sitios web que utilizan tecnologías LSQUIC/Litespeed.
3. Actualice de inmediato.
Vulnerabilidad de quic-leak
Imperva informa que Quic-Leak explota una debilidad fundamental en la forma en que LSQUIC maneja los paquetes unidos dentro de los datagramas de UDP antes de que se establezcan los apretones de manos de la conexión.
La vulnerabilidad ocurre cuando los atacantes crean datagramas UDP maliciosos que contienen múltiples paquetes iniciales de Quic, donde solo el primer paquete contiene una ID de conexión de destino válida (DCID), mientras que los paquetes posteriores usan DCIID inválidos.
En la ruta de código vulnerable dentro de LSQUIC_Engine.c, la implementación identifica e ignora correctamente los paquetes con DCIID no coincidentes, agregando su tamaño a un recuento de basura para la protección de ataque de amplificación.
Código vulnerable
Sin embargo, la falla crítica se encuentra en la falla de desasignar correctamente las estructuras Packet_In utilizando la función LSQUIC_MM_PUT_PACKET_IN, creando fugas de memoria persistentes.
Cada estructura de paquetes filtrados consume aproximadamente 96 bytes de RAM, y con datagramas UDP capaces de llevar hasta 10 paquetes fusionados, los atacantes pueden lograr el crecimiento de la memoria a aproximadamente el 70% de su tasa de ancho de banda.
El ataque pasa por alto todas las protecciones estándar de nivel de conexión de Quic, incluidos los límites de conexión, los controles de la corriente y la regulación del flujo, ya que estas salvaguardas solo se activan después de la finalización del apretón de manos.
Factores de riesgo Detentailselfected Products: LISQUIC LIBRADA (VERSIONES <4.3.1)- OpenLiTeSpeed (versiones <1.8.4)- Servidor web de Litespeed (versiones <6.3.4)- Cualquier aplicación que use Litespeed Quic LibraryImpActremote Denegación de servicio (DOS) Explotas de explotación- Acceso a la red de la red Válido Capacidad para enviar la capacidad UDP-Capacidad de la Capacidad UDP- Sin necesidad- Sin necesidad- Sin necesidad de la Capacidad Válida, sin necesidad de Sesente, sin necesidad, sin necesidad, sin necesidad, sin necesidad, sin necesidad de Servidor de Authentshake de Servicio Válido. ExplotaciónCVSS 3.1 puntaje7.5 (alto)
Mitigaciones
La vulnerabilidad conlleva una puntuación base CVSS 3.1 de 7.5, y los investigadores señalan que el impacto de la disponibilidad debe clasificarse como alto debido al potencial de una interrupción completa del servicio.
Los servidores de Litespeed, que alimentan más del 14% de todos los sitios web a nivel mundial, son particularmente vulnerables ya que integran directamente la biblioteca LSQUIC afectada.
Impacto de Quic-Leak en un servidor web de Lite Speed
Durante las pruebas controladas utilizando una configuración de memoria MIB 512, los investigadores demostraron que el ataque podría hacer que los servidores OpenLitespeed no respondan por completo cuando la utilización de la memoria alcanzó el 100%.
La efectividad del ataque se deriva de su naturaleza sin estado, no solicita que no sea un establecimiento válido de la sesión de la sesión de Quic o dependencias de tiempo.
La mitigación inmediata requiere la actualización a LSQUIC versión 4.3.1 o posterior, que se incluye en OpenLiTespeed 1.8.4 y Litespeed Web Server 6.3.4.
Las organizaciones que no pueden actualizar inmediatamente deben implementar el filtrado de tráfico UDP a nivel de red, hacer cumplir los límites de uso de memoria estrictos en los servicios expuestos y mantener un monitoreo continuo de patrones de tráfico anómalo dirigidos a los puntos finales de Quic.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
.webp?w=1600&resize=1600,900&ssl=1){kind=link}