Nova vulnerabilidade crítica afeta servidores de proxy: CVE-2025-49763 no Apache Traffic Server

Views: 2
0 0
Read Time:2 Minute, 40 Second

A Imperva revelou recentemente uma vulnerabilidade crítica no Apache Traffic Server (ATS) que pode levar a ataques de negação de serviço (DoS) com alto impacto. Identificada como CVE-2025-49763, essa falha permite que atacantes remotos e não autenticados esgotem a memória do servidor por meio de uma avalanche de requisições internas manipuladas via o plugin ESI (Edge Side Includes).

A falha afeta versões do ATS entre 9.0.0 e 9.2.10 e 10.0.0 e 10.0.5. A recomendação urgente é a atualização para as versões corrigidas: 9.2.11 ou 10.0.6, que introduzem um novo mecanismo de proteção por profundidade máxima de inclusão.

Por que servidores de proxy reverso são tão importantes?

A maioria das requisições web atualmente passa por servidores de proxy reverso antes de chegar à aplicação de origem. Eles são fundamentais para o desempenho e a segurança na entrega de conteúdo digital, atuando como cache, ponto de terminação de TLS e camada de controle de acesso. Quando um desses nós falha, milhares de sessões simultâneas podem ser comprometidas, com impactos que se propagam por CDNs, plataformas SaaS, portais de mídia e até instituições financeiras.

Entendendo o Apache Traffic Server

O ATS é um proxy HTTP/2 de alto desempenho utilizado por grandes operações digitais desde sua criação pela Inktomi e Yahoo!. Mesmo não sendo tão amplamente adotado quanto o Nginx ou o Varnish, ele é peça central em infraestruturas que lidam com altíssimos volumes de tráfego. Por isso, vulnerabilidades em seus plugins têm consequências diretas e graves.

O que é o ESI e como ele foi explorado?

Edge Side Includes (ESI) é uma linguagem de marcação usada para montar páginas web dinamicamente no cache, permitindo que partes do conteúdo sejam carregadas separadamente — o que é ideal para performance em ambientes de alto tráfego.

O problema surge quando o plugin ESI do ATS não impõe limites na profundidade das inclusões de conteúdo. Um invasor pode explorar isso para gerar inclusões recursivas infinitas, consumindo toda a memória disponível e derrubando o serviço.

Duas abordagens de ataque foram identificadas:

  • Injeção de ESI em páginas legítimas, levando o servidor a se auto-referenciar indefinidamente.
  • Uso de um servidor malicioso para responder com conteúdos ESI manipulados, derrubando o proxy intermediário.

Como mitigar o problema

A solução imediata é a atualização para o ATS 9.2.11 ou 10.0.6, que inclui o parâmetro –max-inclusion-depth, limitando a profundidade das chamadas ESI a um nível seguro. Esse ajuste evita que chamadas recursivas causem esgotamento de memória.

Para quem utiliza proxies da Imperva, a boa notícia é que tentativas de injeção ESI já são bloqueadas automaticamente, reduzindo significativamente a superfície de ataque.


Conclusão

Em um cenário de entrega digital onde o desempenho e a disponibilidade são críticos, falhas como a CVE-2025-49763 destacam a importância de manter infraestruturas atualizadas e protegidas contra vetores de ataque emergentes. Organizações que utilizam o Apache Traffic Server devem agir rapidamente para aplicar os patches e reforçar suas defesas.

Esse artigo tem informações retiradas do blog da Imperva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.

POSTS RELACIONADOS