Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
Se ha identificado una vulnerabilidad crítica, CVE-204-56337 con una puntuación CVSS: 9.8, que afecta al servidor Apache Tomcat. Esta vulnerabilidad permite la ejecución remota de código (RCE) debido a una condición de carrera TOCTOU (Time-of-Check Time-of-Use). Puede ser explotada en sistemas con configuraciones específicas, comprometiendo la seguridad de los entornos afectados.
Recursos afectados
- Apache Tomcat 11.0.0-M1 a 11.0.1
- Apache Tomcat 10.1.0-M1 a 10.1.33
- Apache Tomcat 9.0.0.M1 a 9.0.97
Mitigación
Los usuarios de las versiones afectadas deben aplicar una de las siguientes medidas: mitigaciones
- Actualizar a Apache Tomcat 11.0.2 o posterior
- Actualizar a Apache Tomcat 10.1.34 o posterior
- Actualizar a Apache Tomcat 9.0.98 o posterior.
Indicadores de compromiso
IOC: CVE-2024-56337
Evidencias:
-
Accesos no autorizados detectados en el servidor.
-
Archivos modificados sin registro de cambios.
-
Actividades inusuales en los logs del sistema.
Recomendaciones
-
Aplicar las actualizaciones de seguridad mencionadas lo antes posible.
-
Revisar la configuración de permisos del servlet predeterminado para evitar escrituras no autorizadas.
-
Monitorizar el tráfico de red en busca de actividades sospechosas relacionadas con esta vulnerabilidad.
-
Establecer un plan de respuesta para incidentes en caso de detección de compromisos relacionados