La Apache Software Foundation ha lanzado actualizaciones de seguridad de emergencia para abordar dos vulnerabilidades graves en Apache Traffic Server (ATS), una solución de caché de proxy web de alto rendimiento utilizada ampliamente para gestionar volúmenes masivos de tráfico corporativo. Ambas fallas, originadas en la forma en que el servidor procesa los cuerpos de los mensajes en las solicitudes HTTP, permiten a atacantes remotos paralizar la infraestructura o eludir las barreras de seguridad perimetral hacia los servidores internos.
Anatomía del Ataque
El aviso de seguridad detalla dos vectores de ataque distintos basados en el procesamiento de tráfico entrante:
- Denegación de Servicio (CVE-2025-58136): Descubierta por Masakazu Kitajo, esta vulnerabilidad radica en el manejo de las solicitudes HTTP POST. Un atacante remoto puede enviar una solicitud POST aparentemente legítima pero específicamente diseñada que provoca un fallo crítico en el procesamiento, causando que toda la aplicación ATS colapse abruptamente. Al ser el método POST un estándar abierto para el envío de datos, la superficie de ataque es altamente accesible.
- Contrabando de Solicitudes HTTP – Request Smuggling (CVE-2025-65114): Identificada por Katsutoshi Ikenoya, esta falla se enfoca en el análisis de cuerpos de mensajes fragmentados (chunked message bodies) que están mal formados. Un atacante aprovecha esta discrepancia de procesamiento para “contrabandear” solicitudes ocultas. Al manipular la secuencia de cómo el proxy y el servidor de destino interpretan el flujo de datos HTTP, el atacante engaña al sistema.
Impacto
Las consecuencias operativas y de seguridad afectan a las versiones activas de las ramas 9.x y 10.x de ATS:
- Caída del Servicio (DoS): La explotación del CVE-2025-58136 resulta en una caída inmediata del proxy, generando un bloqueo masivo e impidiendo el acceso de usuarios legítimos a los servicios web que dependen de la infraestructura.
- Compromiso de Servidores Subyacentes: El HTTP Request Smuggling (CVE-2025-65114) es una técnica avanzada que permite a los actores de amenazas envenenar las memorias caché web (cache poisoning), saltarse los controles de seguridad del proxy (como los WAF) y obtener acceso directo o no autorizado a los datos sensibles alojados en los servidores de backend o bases de datos posteriores.
Recomendaciones y Mitigación Inmediata
Las vulnerabilidades impactan a las versiones de ATS 9.0.0 hasta 9.2.12, y de la 10.0.0 hasta 10.1.1. Los administradores deben tomar las siguientes acciones:
- Actualización Urgente (Mandatoria): La Fundación Apache recomienda encarecidamente actualizar a las versiones parcheadas.
- Los sistemas en la rama 9.x deben migrar a la versión 9.1.13 o superior.
- Los sistemas en la rama 10.x deben migrar a la versión 10.1.2 o superior.
- Mitigación Temporal para DoS (CVE-2025-58136): Si no es posible aplicar el parche inmediatamente, el fallo que provoca el colapso del servidor puede mitigarse estableciendo el parámetro de configuración proxy.config.http.request_buffer_enabled en 0. (Afortunadamente, este suele ser el valor predeterminado del sistema, lo que podría proteger pasivamente a muchos servidores).
- Riesgo Crítico Restante: Es crucial destacar que no existe solución temporal o mitigación (workaround) para el defecto de Request Smuggling (CVE-2025-65114). La única defensa efectiva contra el envenenamiento de caché y el acceso al servidor de backend es la actualización completa del software a las versiones seguras mencionadas.
