Vulnerabilidad CVE-2024-50379 en Apache Tomcat

🔍 Resumen rápido

En los últimos días, se ha hecho pública la vulnerabilidad CVE-2024-50379, un fallo crítico en Apache Tomcat que podría permitir a un atacante remoto ejecutar código malicioso bajo ciertas condiciones específicas. Si gestionas servidores con Tomcat, ¡este artículo te interesa!

🧐 ¿Qué es el CVE-2024-50379?

Este CVE se refiere a una vulnerabilidad conocida como Time-of-check Time-of-use (TOCTOU) Race Condition, que ocurre durante la compilación de páginas JSP (JavaServer Pages) en Apache Tomcat. En sistemas con sistemas de archivos insensibles a mayúsculas y minúsculas (como Windows), y con configuraciones específicas del servidor, los atacantes podrían aprovechar esta brecha para obtener acceso remoto y ejecutar código malicioso.

📂 Productos afectados

El CVE-2024-50379 afecta a las siguientes versiones de Apache Tomcat:

• 11.0.0-M1 a 11.0.1
• 10.1.0-M1 a 10.1.33
• 9.0.0.M1 a 9.0.97

Si usas una de estas versiones y tienes habilitada la configuración para permitir escritura mediante el servlet por defecto, tu sistema podría estar en riesgo.

💣 ¿Cómo funciona la vulnerabilidad?

Si no solucionas este problema, un atacante podría:

1. Subir un archivo malicioso (por ejemplo, un archivo JSP) que pueda ejecutarse en tu servidor.
2. Tomar control remoto del sistema, comprometiendo datos y servicios.
3. Usar tu servidor para actividades maliciosas como lanzar ataques a otros sistemas.

Severidad

CRÍTICA (CVSS 3.1: 9.8)

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

🔐 Mitigación y soluciones

Por suerte, ya hay soluciones disponibles. Aquí te dejamos dos opciones:

1️⃣ Actualizaciones disponibles:

Apache ha lanzado versiones que corrigen este problema:

• 11.0.2, 10.1.34, 9.0.98

Puedes descargar la versión correspondiente desde los enlaces oficiales:

• Descargar Tomcat 11
• Descargar Tomcat 10
• Descargar Tomcat 9

🛠️ Recomendaciones adicionales

Si no puedes actualizar ahora mismo, considera estas medidas temporales:

• Deshabilitar el método PUT: Modifica el archivo conf/web.xml y deshabilita este método.
• Establecer el parámetro readonly en true: En el mismo archivo, asegúrate de que el parámetro readonly esté configurado como true.
• Reinicia el servicio Tomcat para que los cambios tomen efecto.

📅 Publicación y referencias

• Fecha de publicación: 17 de diciembre de 2024.
• Identificador: CVE-2024-50379.
• Referencias:
  • NIST CVE-2024-49775 Detail
  • INCIBE Cert CVE-2024-49775 Early Warning
  • MITRE CVE-2024-49775

Conclusión

Si usas Apache Tomcat, actúa ahora:

• Actualiza a una versión segura.
• Revisa las configuraciones de tu servidor.
• Protege tu infraestructura antes de que sea demasiado tarde.

Y recuerda, en digitalninjutsu.com siempre estamos atentos a las últimas noticias para ayudarte a mantenerte un paso adelante en ciberseguridad. Si tienes dudas o necesitas más ayuda, ¡déjanos un comentario o comparte este artículo con quien lo necesite!