Fecha de divulgación: 13 de noviembre de 2024
Fecha añadida a CISA KEV: N/A
La Apache Software Foundation ha publicado actualizaciones de actualizaciones de seguridad para Apache Traffic Server, que solucionan tres vulnerabilidades que podrían exponer a los usuarios a diversas ciberamenazas. Estos fallos, que afectan a las versiones 8.0.0 a 8.1.11, 9.0.0 a 9.2.5 y 10.0.0 a 10.0.1, incluyen riesgos como envenenamiento de caché, caída de aplicaciones y posible escalada de privilegios.
CVE-2024-38479 implica una validación de entrada incorrecta en el plugin de claves de caché de Apache Traffic Server, permitiendo potenciales ataques de envenenamiento de caché. Un atacante podría manipular el comportamiento de la caché mediante la elaboración de entradas específicas, lo que lleva a la entrega de contenido incorrecto o fuga de datos.
CVE-2024-50305 es una vulnerabilidad de denegación de servicio en Apache Traffic Server que permite que un campo de cabecera Host manipulado provoque el bloqueo de la aplicación en determinadas plataformas, permitiendo potencialmente a los atacantes interrumpir la disponibilidad del servidor.
CVE-2024-50306 surge de un valor de retorno no comprobado durante el proceso de inicio de Apache Traffic Server, que podría permitir al servidor retener privilegios elevados de forma no intencionada.
En despliegues típicos, el Servidor de Tráfico Apache es accesible públicamente para facilitar la entrega de contenidos. Sin embargo, esta exposición puede aumentar su superficie de ataque, especialmente si las configuraciones son incorrectas, las versiones no están actualizadas o los controles de acceso son insuficientes. Para mitigar los riesgos potenciales de seguridad, es crucial actualizar regularmente el servidor e implementar controles de acceso robustos para asegurar sus interfaces de gestión y datos.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-38479 - CVSS 7.5 (Alto) asignado por CISA-ADP |
CVE-2024-50305 - CVSS 7.5 (Alto) asignado por CISA-ADP |
CVE-2024-50306 - CVSS 9.1 (Crítico) asignado por CISA-ADP |
| Descripción de la vulnerabilidad |
Vulnerabilidad de validación de entrada inadecuada en Apache Traffic Server. |
Un campo de cabecera Host válido puede hacer que Apache Traffic Server se bloquee en algunas plataformas. |
Un valor de retorno no comprobado puede permitir que el Servidor de Tráfico Apache retenga privilegios al iniciarse. |
| Fecha de divulgación |
13 de noviembre de 2024 |
| Activos afectados |
Servidor de tráfico Apache |
| Versiones de software vulnerables |
- 8.0.0 - 8.1.11 ( CVE-2024-38479 )
- 9.0.0 - 9.2.5 ( CVE-2024-38479, CVE-2024-50305, CVE-2024-50306 )
- 10.0.0 - 10.0.1 ( CVE-2024-50306 )
|
| ¿PoC disponible? |
En el momento de redactar el presente documento no se disponía de ninguna PdC. |
| Estado de explotación |
En el momento de escribir estas líneas, ninguna de estas CVE estaba publicada en la lista de vulnerabilidades explotadas conocidas de CISA ni se había observado en GreyNoise. |
| Estado del parche |
La Apache Software Foundation ha instado a los usuarios a actualizar a 9.2.6 o 10.0.2 dependiendo de su versión actual. |
Censys Perspectiva
En el momento de redactar este informe, Censys observó 7,623 instancias expuestas del Servidor de Tráfico Apache en línea. Una gran proporción de ellas (79%) están geolocalizadas en China. Censys observó aproximadamente 76% de las instancias expuestas estaban asociadas a China Telecom (ASN 4134), una de las mayores empresas de telecomunicaciones de China. Nótese que no todas ellas son necesariamente vulnerables, ya que no siempre se dispone de versiones específicas.
Mapa de instancias expuestas del Servidor de Tráfico Apache:
Censys Consulta de búsqueda:
services.software: (vendor="Apache" and product="Traffic Server")
Censys Consulta ASM:
host.services.software.vendor = "Apache" and host.services.software.product= "Traffic Server"
Referencias
