Cabecera blog ciberseguridad

CVE-2024-52316: Vulnerabilidad crítica en Apache Tomcat

- Unidad S.T.A².R.S

La CVE-2024-52316 es una vulnerabilidad crítica que afecta a Apache Tomcat

La vulnerabilidad crítica CVE-2024-52316 que afecta a Apache Tomcat permite la evasión de autenticación cuando se utiliza la API de autenticación de Jakarta

Recientemente se ha identificado una vulnerabilidad crítica en Apache Tomcat, ampliamente utilizado en entornos empresariales para servir aplicaciones web. Esta vulnerabilidad, registrada como CVE-2024-52316, permite a atacantes remotos no autenticados eludir el proceso de autenticación bajo ciertas configuraciones específicas, comprometiendo potencialmente la seguridad de los sistemas afectados.

La vulnerabilidad reside en la integración de Apache Tomcat con Jakarta Authentication (anteriormente conocido como JASPIC). Si Tomcat está configurado para utilizar un componente personalizado de ServerAuthContext de Jakarta Authentication que pudiese lanzar una excepción durante el proceso de autenticación sin establecer explícitamente un estado HTTP que indique fallo, la autenticación podría no fallar correctamente, permitiendo al usuario eludir el proceso de autenticación.

Características principales de la CVE-2024-52316

A continuación, se presentan las principales características de esta vulnerabilidad:

  • Identificador: CVE-2024-52316.
  • Fecha de publicación: 15/11/2024.
  • Software afectado: Apache Tomcat.
  • CVSS Score: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8 Crítica).
  • Impacto: Evasión de autenticación bajo configuraciones específicas.
  • Versiones afectadas:
    • Apache Tomcat 11.0.0-M1 a 11.0.0-M26.
    • Apache Tomcat 10.1.0-M1 a 10.1.30.
    • Apache Tomcat 9.0.0-M1 a 9.0.95.

Mitigación de la vulnerabilidad

La solución principal para mitigar la CVE-2024-52316 es actualizar Apache Tomcat a las versiones corregidas:

  • Apache Tomcat 11.0.0.
  • Apache Tomcat 10.1.31.
  • Apache Tomcat 9.0.96.

Adicionalmente, se recomienda revisar cualquier implementación personalizada de ServerAuthContext para asegurar que maneje adecuadamente las excepciones y establezca explícitamente el estado HTTP correspondiente en caso de fallos de autenticación.

Detección de la vulnerabilidad

Para identificar si un sistema es vulnerable, se debe verificar la versión de Apache Tomcat instalada. Si se encuentra dentro de las versiones afectadas, es necesario proceder con la actualización.

Las siguientes herramientas de seguridad incluyen detecciones específicas para la CVE-2024-52316:

  • Qualys: El plugin para esta vulnerabilidad está disponible con el identificador 152405 en la plataforma Qualys.
  • Nessus: La detección está soportada a través de los siguientes plugins:
    • Plugin ID 211503.
    • Plugin ID 211504.
    • Plugin ID 211505.
    • Plugin ID 211506.

Estas herramientas pueden ser utilizadas para escanear sistemas y detectar implementaciones vulnerables de Apache Tomcat.

Como parte de su servicio de vulnerabilidades emergentes, Tarlogic monitoriza proactivamente el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto en la seguridad de sus activos.

Referencias
  • Anuncio en listas de Apache: https://lists.apache.org/thread/lopzlqh91jj9n334g02om08sbysdb928
  • GitHub Advisory sobre la CVE-2024-52316: https://github.com/advisories/GHSA-xcpr-7mr4-h4xq