Solución de la vulnerabilidad HAProxy en sistemas Linux al final de su vida útil
Se ha identificado una vulnerabilidad crítica(CVE-2023-44487) en HAProxy, una solución de balanceo de carga y proxy inverso ampliamente utilizada. Este fallo, detectado en la gestión de flujos HTTP/2 por parte de HAProxy, puede provocar un ataque de denegación de servicio (DoS) debido a un consumo excesivo de recursos.
Esta vulnerabilidad fue explotada activamente en la naturaleza entre agosto y octubre de 2023, según ha informado la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA). Los usuarios que confíen en las versiones de HAProxy afectadas deben tomar medidas inmediatas para mitigar este problema y garantizar la seguridad de su entorno.
Vulnerabilidad de HAProxy - CVE-2023-44487
El fallo reside en la forma en que HAProxy gestiona los flujos multiplexados en el protocolo HTTP/2. En concreto, HAProxy no limita adecuadamente la creación de nuevos flujos HTTP/2. Un atacante remoto podría explotar este fallo solicitando repetidamente nuevos flujos multiplexados y cancelándolos inmediatamente con una trama RST_STREAM. Esto obliga al servidor a asignar recursos para crear y desmantelar estos flujos, consumiendo en última instancia un exceso de recursos del servidor sin alcanzar los límites predefinidos de flujos activos por conexión. Esto conduce a una condición de denegación de servicio (DoS).
Sistemas afectados y medidas de mitigación
Una de las distribuciones de Linux afectadas por CVE-2023-44487 es Ubuntu 18.04, que llegó al final de su vida útil el 31 de mayo de 2023. Como resultado, esta versión de Ubuntu ya no recibe parches de seguridad de Canonical. Sin embargo, los usuarios de Ubuntu 18.04 que estén suscritos a Ubuntu Pro todavía pueden acceder a actualizaciones de seguridad a través del servicio Expanded Security Maintenance (ESM) de Canonical. ESM extiende el soporte durante cinco años más, asegurando que vulnerabilidades críticas como ésta sean parcheadas. Recientemente, Canonical ha publicado una actualización de seguridad para solucionar esta vulnerabilidad en el paquete HAProxy en Ubuntu 18.04 ESM.
Para quienes busquen una opción más asequible, el soporte para Ubuntu 18.04 Endless Lifecycle Support (ELS) de TuxCare ofrece una alternativa convincente. Permite a las organizaciones seguir recibiendo parches de seguridad del proveedor durante todo el tiempo que sea necesario, dándoles la flexibilidad de migrar a su propio ritmo. Esta solución puede ser especialmente beneficiosa para las empresas que buscan una forma rentable de mantener la seguridad en sistemas que han llegado al final de su vida útil. El equipo de ELS ya había parcheado esta vulnerabilidad en el paquete HAProxy, a principios de octubre de 2023.
Ampliar el impacto de CVE-2023-44487
Además, esta vulnerabilidad afecta a múltiples paquetes que soportan el protocolo HTTP/2, incluyendo HAProxy, Nginx, Tomcat y Apache. Es crucial actualizar estos paquetes a las últimas versiones que incorporan los parches de seguridad necesarios.
TuxCare's Endless Lifecycle Support (ELS) cubre más de 140 paquetes críticos, incluyendo el kernel de Linux, OpenSSL, glibc, HAProxy, Nginx, Tomcat, y Apache, Python, MySQL, y más. Este soporte ampliado está disponible para una amplia gama de distribuciones de Linux, como CentOS 6, CentOS 7, CentOS 8, CentOS Stream 8, Oracle Linux 6, Oracle Linux 7, Ubuntu 16.04 y Ubuntu 18.04.
Para quienes gestionan sistemas al final de su vida útil, TuxCare supone un valioso salvavidas para seguir recibiendo actualizaciones de seguridad críticas sin necesidad de realizar migraciones costosas o inmediatas.
Fuente: USN-7067-1