CISA advierte sobre vulnerabilidad crítica en Apache Tomcat explotada en entornos reales
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha incluido una vulnerabilidad crítica en Apache Tomcat en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Esta acción se produce tras detectarse evidencia de explotación activa en entornos de producción, lo que aumenta el riesgo para organizaciones que utilizan esta tecnología sin aplicar los parches correspondientes.
Detalles técnicos de la vulnerabilidad
La vulnerabilidad, identificada como CVE-2023-28709, afecta a las versiones de Apache Tomcat anteriores a la 10.1.7, 9.0.74 y 8.5.85. Se trata de un fallo en el módulo de conexiones HTTP/2 que podría permitir a un atacante:
- Ejecutar ataques de denegación de servicio (DoS) mediante el envío de solicitudes maliciosas
- Interceptar o manipular comunicaciones entre cliente y servidor
- Potencialmente escalar privilegios en configuraciones vulnerables
El problema radica en cómo Tomcat maneja ciertas secuencias de frames HTTP/2, particularmente en escenarios donde se interrumpen conexiones establecidas.
Impacto y vectores de ataque
Apache Tomcat es uno de los servidores web Java más utilizados globalmente, con una cuota de mercado estimada del 60% en entornos empresariales. Su amplia adopción convierte esta vulnerabilidad en especialmente peligrosa:
- Sistemas financieros que procesan transacciones en tiempo real
- Portales gubernamentales que manejan datos sensibles
- Aplicaciones empresariales críticas basadas en Java EE
Los atacantes están aprovechando esta vulnerabilidad principalmente para:
- Interrumpir servicios web críticos
- Realizar reconnaissance para identificar otros sistemas vulnerables
- Establecer puntos de entrada para ataques más sofisticados
Recomendaciones de mitigación
CISA recomienda acciones inmediatas para las organizaciones afectadas:
- Actualizar inmediatamente a las versiones parcheadas: 10.1.7, 9.0.74 u 8.5.85
- Implementar reglas WAF específicas para bloquear patrones de tráfico HTTP/2 anómalos
- Monitorizar logs en busca de intentos de explotación
- Considerar la desactivación temporal de HTTP/2 si no es estrictamente necesario
Para organizaciones con despliegues complejos donde la actualización inmediata no sea posible, se recomienda:
- Aislar los servidores Tomcat afectados detrás de proxies inversos configurados adecuadamente
- Implementar controles de red estrictos para limitar el acceso a los puertos de administración
- Auditar todas las instancias de Tomcat para identificar posibles compromisos
Esta alerta subraya la importancia de mantener sistemas actualizados y monitorear activamente las amenazas emergentes. La inclusión en el catálogo KEV de CISA indica un nivel de riesgo elevado que justifica acción inmediata.
