ISGroup Consultoría de Ciberseguridad

CVE-2023-43622: Vulnerabilidad de denegación de servicio relacionada con el tamaño inicial de la ventana HTTP/2 en Apache HTTP Server

Apache HTTP Server es uno de los servidores web más utilizados en Internet y constituye la base de una parte significativa de los servicios web, desde los sitios más sencillos hasta los backends de aplicaciones complejos. Su rendimiento y estabilidad son fundamentales para la continuidad operativa, lo que convierte su seguridad en una prioridad absoluta para administradores de sistemas y equipos de seguridad en todo el mundo.

Esta vulnerabilidad representa un riesgo elevado porque permite que un usuario remoto no autenticado cause una Denegación de Servicio (DoS) completa con un esfuerzo mínimo. El ataque no requiere privilegios especiales ni la interacción del usuario. Existen códigos de exploit públicos disponibles y el ataque es sencillo de ejecutar, lo que aumenta significativamente la probabilidad de explotación.

Cualquier instancia de Apache HTTP Server expuesta a Internet que ejecute una versión vulnerable con el protocolo HTTP/2 habilitado está en riesgo. Un ataque exitoso dejará indisponibles todos los servicios web alojados, lo que resultará en interrupciones operativas, posibles pérdidas económicas y daños reputacionales. Dado el amplio uso del servidor, el impacto potencial es considerable.

ProductoApache HTTP Server
Fecha2025-12-06 12:33:40

Resumen técnico

La causa técnica de la vulnerabilidad es una gestión inadecuada del mecanismo de control de flujo de HTTP/2, clasificada como CWE-400: Consumo incontrolado de recursos. Se trata de una variante del ataque “slow loris”, dirigida específicamente a la implementación del protocolo HTTP/2 del servidor.

El ataque se desarrolla de la siguiente manera:

  1. El atacante inicia una conexión HTTP/2 hacia una instancia vulnerable de Apache HTTP Server.
  2. El atacante envía entonces un frame SETTINGS con el parámetro SETTINGS_INITIAL_WINDOW_SIZE configurado en 0.
  3. Esta configuración maliciosa induce a la lógica de gestión de conexiones del servidor a bloquearse indefinidamente durante el procesamiento de los datos subsiguientes provenientes del cliente, esperando una actualización de la ventana que nunca llegará.
  4. Cada una de estas conexiones bloqueadas ocupa un hilo de trabajo (worker thread). Al iniciar múltiples conexiones similares, un atacante puede agotar rápidamente todos los hilos de trabajo disponibles en el servidor.
  5. Una vez agotado el pool de hilos de trabajo, el servidor ya no es capaz de aceptar nuevas conexiones, denegando efectivamente el servicio a los usuarios legítimos.

Conceptualmente, la configuración maliciosa del cliente se vería así:

# Representación conceptual de un frame SETTINGS de HTTP/2 malicioso
# NO usar como cadena de ataque.
SETTINGS {
    SETTINGS_INITIAL_WINDOW_SIZE = 0
}
  • Versiones afectadas: Apache HTTP Server 2.4.55 hasta 2.4.57
  • Versión corregida: Apache HTTP Server 2.4.58

Recomendaciones

  • Aplicar el parche inmediatamente: Actualizar las instancias de Apache HTTP Server a la versión corregida 2.4.58 o superiores. Esta es la forma más efectiva de solucionar la vulnerabilidad.

  • Mitigaciones:

  • Como medida temporal hasta la aplicación del parche, considere deshabilitar el protocolo HTTP/2 si no es esencial para el entorno. Esto puede hacerse modificando la directiva Protocols en la configuración de Apache (ej. Protocols http/1.1).

  • Utilizar un Web Application Firewall (WAF) o un dispositivo perimetral capaz de inspeccionar y normalizar el tráfico HTTP/2 para bloquear solicitudes con un tamaño inicial de ventana igual a cero.

  • Hunt & Monitor:

  • Monitorear la página server-status de Apache para detectar un número anómalo de conexiones bloqueadas en estado “Read” o “Write” persistente sin transferencias de datos.

  • Analizar el tráfico de red en busca de un aumento repentino de conexiones HTTP/2, especialmente aquellas que se bloquean después del intercambio inicial del frame SETTINGS.

  • Configurar alertas para el uso continuo y elevado de hilos de trabajo, lo cual puede ser un indicador temprano del ataque.

  • Respuesta a incidentes:

  • Si se sospecha de una vulneración, reinicie de forma controlada el servicio Apache para terminar todas las conexiones existentes y liberar el pool de hilos de trabajo.

  • Bloquear temporalmente las direcciones IP de origen responsables del ataque a nivel de firewall. Tenga en cuenta que los atacantes pueden cambiar fácilmente de dirección IP, por lo que esta medida es solo temporal.

  • Priorizar la distribución inmediata del parche (versión 2.4.58) para prevenir reincidencias.

  • Defensa en profundidad:

  • Implementar políticas de limitación de conexiones y tráfico en los dispositivos perimetrales para ralentizar los ataques de agotamiento de recursos.

  • Asegurarse de que existan sistemas de monitoreo y registro (logging) completos del servidor para proporcionar visibilidad sobre los estados de conexión y el uso de recursos.

[Callforaction-THREAT-Footer]

In