EL 13 de abril pasado, la Fundación Apache Software publicó actualizaciones de
seguridad de emergencia para abordar múltiples vulnerabilidades en Apache
Tomcat. Los avisos destacaban un error crítico en la aplicación de parches que
expuso inadvertidamente a los servidores a una vulnerabilidad de elusión de
interceptación, así como problemas que afectan la autenticación de
certificados y los ataques de oráculo de relleno.
Hoy, se ha publicado un
exploit funcional para CVE-2026-34486
que obliga a parchear de forma urgente.
Omisión de EncryptInterceptor y ataques de oráculo de relleno
La mayoría de los problemas se derivan de un parche de seguridad defectuoso.
Inicialmente, los investigadores de seguridad descubrieron CVE-2026-29146, una
vulnerabilidad de gravedad «Importante» donde
EncryptInterceptor utilizaba el encadenamiento de bloques de cifrado
(CBC) por defecto.
Esta configuración dejaba al servidor vulnerable a un ataque de oráculo de
relleno, lo que potencialmente permitía a actores maliciosos descifrar el
tráfico interceptado.
Los investigadores de Oligo Security, Uri Katz y Avi Lumelsky, identificaron e
informaron sobre esta debilidad criptográfica inicial. Para resolver la
amenaza del oráculo de relleno, Apache publicó una
primera ronda de actualizaciones.
Sin embargo, la corrección introdujo una nueva vulnerabilidad, igualmente
grave, identificada como CVE-2026-34486. Descubierta por Bartlomiej Dmitruk de striga.ai, esta vulnerabilidad posterior
permitía a los atacantes eludir completamente el EncryptInterceptor. Ahora la misma empresa ha publicado el exploit en Github.
El parche defectuoso que permite eludir EncryptInterceptor (CVE-2026-34486) afecta específicamente a las siguientes versiones:
- Apache Tomcat 11.0.20
- Apache Tomcat 10.1.53
- Apache Tomcat 9.0.116
Debido a que el parche inicial era defectuoso, las organizaciones que utilizan
las versiones de actualización intermedias están expuestas a este mecanismo de
elusión.
Además de los problemas con el EncryptInterceptor, Apache solucionó una
vulnerabilidad de gravedad moderada identificada como CVE-2026-34500. Esta
vulnerabilidad afecta a las comprobaciones del Protocolo de estado de
certificados en línea (OCSP) en Tomcat.
En determinadas condiciones, al utilizar la API de función y memoria externa
(FFM), el sistema experimenta un fallo leve durante la validación OCSP,
incluso si el administrador ha deshabilitado explícitamente esta función. En consecuencia, la autenticación CLIENT_CERT no falla como se espera, lo que
genera comportamientos de autenticación inesperados que podrían comprometer
los controles de acceso.
Haruki Oyama, de la Universidad de Waseda, descubrió y reportó este error de
validación de certificado (CVE-2026-34500). Las vulnerabilidades afectan a
varias ramas de Apache Tomcat.
Las vulnerabilidades más generales, incluyendo el ataque inicial de relleno de
oráculo y los fallos de validación de certificados, afectan a un rango más
amplio de versiones anteriores:
- Apache Tomcat 11.0.0-M1 a 11.0.20
- Apache Tomcat 10.1.0-M1 a 10.1.53
- Apache Tomcat 9.0.13 a 9.0.116
Para resolver las tres vulnerabilidades, incluyendo el parche defectuoso de
EncryptInterceptor y el fallo de validación de certificados OCSP, los
administradores deben actualizar sus sistemas a las últimas versiones seguras.
La Fundación Apache Software recomienda encarecidamente aplicar las siguientes
actualizaciones:
- Actualizar las implementaciones de Apache Tomcat 11.x a la versión 11.0.21 o
posterior. -
Actualizar las implementaciones de Apache Tomcat 10.x a la versión 10.1.54 o
posterior. -
Actualizar las implementaciones de Apache Tomcat 9.x a la versión 9.0.117 o
posterior.
Las organizaciones que utilizan versiones antiguas de Tomcat que han llegado
al final de su ciclo de vida (EOL) deben migrar inmediatamente a una rama
compatible, ya que estos sistemas heredados no recibirán parches para el
ataque de oráculo de relleno ni para las vulnerabilidades de evasión
posteriores.
Fuente: CyberSecurityNews