Especialistas en ciberseguridad reportan la detección de una vulnerabilidad de contrabando de solicitudes HTTP en Apache Tomcat que ha existido desde hace al menos 5 años. Como algunos recordarán, Apache Tomcat es un contenedor de servlets Java de código abierto mantenido por la Apache Software Foundation.
Los responsables de Tomcat revelaron que la vulnerabilidad fue detectada en múltiples versiones de Apache, ya que esta implementación no analiza de forma correcta el encabezado de solicitud de codificación de transferencia HTTP en circunstancias determinadas. Este escenario permite a los actores de amenazas contrabandear solicitudes cuando se usa un proxy inverso.
“Tomcat ignoró incorrectamente el encabezado de codificación de transferencia si el cliente declaraba que solo aceptaría una respuesta HTTP/1.0; además, Tomcat no se asegura de que, si estaba presente, la codificación fragmentada fuera la codificación final”, señala el reporte.
Mark Thomas, miembro del Comité de Gestión de Proyectos de Apache Tomcat, mencionó que la vulnerabilidad ha estado presente en la base de código de Tomcat al menos desde el año 2015: “Es posible que haya estado presente antes de eso, pero ese es el lanzamiento más temprano de las versiones compatibles actuales. Por otra parte, el comité de revisión de Tomcat, compuesto solo por voluntarios, no verifica las versiones anteriores sin soporte”, agrega Thomas.
Sobre las posibilidades de ataque, el contrabando de solicitudes HTTP es una técnica de hacking empleada para interferir con la firma en que un sitio web procesa las secuencias de solicitudes HTTP que se reciben de uno o más usuarios. Las vulnerabilidades de contrabando de solicitudes suelen ser críticas y permiten a los hackers evadir cualquier control de seguridad, obtener acceso no autorizado a datos confidenciales y comprometer directamente a otros usuarios de la aplicación.
Este error fue notificado a los desarrolladores por los expertos Bahruz Jabiyev, Steven Sprecher y Kaan Onarlioglu, de la Northeastern University. La falla aún no recibe un puntaje acorde al Common Vulnerability Scoring System (CVSS), aunque los desarrolladores de Tomcat creen que recibirá un puntaje alto.
De cualquier forma, los parches fueron revelados este 8 de junio, aunque el anuncio fue retrasado hasta el 12 de julio debido a que ciertas versiones contenían una regresión significativa en el procesamiento de JSP, concluye el reporte.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.