Syswoody

Blog de Sistemas Informáticos

Uncategorized

Vulnerabilidad Crítica QUIC-LEAK Permite Ataques DoS Pre-Handshake en Servidores LiteSpeed

Poradmin

Ago 23, 2025

Vulnerabilidad Crítica QUIC-LEAK Permite Ataques DoS Pre-Handshake en Servidores LiteSpeed

Resumen Ejecutivo

Una vulnerabilidad crítica denominada «QUIC-LEAK» (CVE-2025-54939) ha sido descubierta en la implementación LSQUIC de LiteSpeed, la segunda implementación QUIC más utilizada después de Quiche. Esta falla permite a atacantes remotos agotar la memoria del servidor y causar denegación de servicio (DoS) incluso antes de que se establezca el handshake de conexión, eludiendo las protecciones estándar del protocolo QUIC.

Detalles Técnicos de la Vulnerabilidad

Información del CVE

  • CVE ID: CVE-2025-54939
  • Nombre: QUIC-LEAK
  • Tipo: Allocation of Resources Without Limits or Throttling
  • Descubierto por: Yohann Sillam, Imperva Offensive Team
  • Severidad: Alta – Pre-handshake Remote DoS

Descripción Técnica

La vulnerabilidad permite que paquetes UDP especialmente crafted enviados al puerto del servicio HTTP/QUIC causen una fuga de memoria sin límites, con el potencial de causar que el proceso o servidor se quede sin memoria, llevando eventualmente a una Denegación de Servicio.

Características distintivas:

  • Pre-handshake: Se activa antes de que se establezca cualquier handshake, eludiendo las protecciones estándar a nivel de conexión QUIC
  • Memory exhaustion: Causa crecimiento descontrolado de memoria y terminación eventual del proceso
  • Remote exploitation: Puede ser explotada remotamente sin autenticación

Vector de Ataque

La vulnerabilidad afecta cómo el stack LSQUIC maneja paquetes coalescidos en un único datagrama durante el procesamiento de paquetes QUIC Initial utilizados para iniciar conexiones.

Productos Afectados y Versiones Parcheadas

Productos LiteSpeed Afectados

Todos los productos de servidor LiteSpeed que utilizan la biblioteca LSQUIC están afectados:

  1. LiteSpeed Web Server (LSWS)
    • Versiones vulnerables: < 6.3.4
    • Versión segura: v6.3.4 o superior
  2. OpenLiteSpeed (OLS)
    • Versiones vulnerables: < 1.8.4
    • Versión segura: v1.8.4 o superior
  3. LiteSpeed Web ADC (LSADC)
    • Versiones vulnerables: < 3.3.1
    • Versión segura: v3.3.1 o superior
  4. LSQUIC Library
    • Versiones vulnerables: < 4.3.1
    • Versión segura: v4.3.1 o superior

Timeline de Respuesta y Parches

Cronología Oficial

  • 15 julio 2025: Notificación inicial del issue
  • 18 julio 2025: Parche añadido al repositorio interno
  • 1 agosto 2025: Lanzamiento de LSWS v6.3.4 y OLS v1.8.4
  • 4 agosto 2025: Lanzamiento de LSADC v3.3.1
  • 13 agosto 2025: Lanzamiento de LSQUIC v4.3.1 en GitHub

Impacto y Riesgo

Facilidad de Explotación

  • Complejidad: Baja
  • Autenticación requerida: No
  • Acceso requerido: Red
  • Interacción del usuario: No requerida

Alcance del Impacto

  • Servidores web que utilizen HTTP/3 y QUIC
  • Aplicaciones que dependan de LSQUIC library
  • Servicios críticos que podrían experimentar downtime

Escenarios de Ataque

  1. DoS dirigido: Ataques específicos contra servidores críticos
  2. Ataques masivos: Campañas contra múltiples objetivos
  3. Resource exhaustion: Agotamiento de memoria del sistema

Medidas de Mitigación

Acción Inmediata Requerida

  1. Actualizar inmediatamente a las versiones parcheadas:
    • LSWS → v6.3.4+
    • OLS → v1.8.4+
    • LSADC → v3.3.1+
    • LSQUIC → v4.3.1+
  2. Workaround temporal: Si no se puede actualizar inmediatamente, deshabilitar HTTP/3 para evitar la vulnerabilidad

Verificación de Versiones

Para verificar versión actual:

# OpenLiteSpeed
/usr/local/lsws/bin/openlitespeed -v

# LiteSpeed Web Server
/usr/local/lsws/bin/lshttpd -v

# LSQUIC Library
ldd /path/to/binary | grep lsquic

Monitoreo y Detección

Indicadores de compromiso:

  • Crecimiento anómalo del uso de memoria
  • Picos de tráfico UDP al puerto QUIC
  • Logs de errores relacionados con memory allocation
  • Crashes frecuentes del proceso del servidor

FAQ – Preguntas Frecuentes

¿Qué es exactamente QUIC-LEAK?

QUIC-LEAK es una vulnerabilidad de agotamiento de memoria que afecta la implementación LSQUIC de LiteSpeed. Permite a atacantes causar leaks de memoria ilimitados enviando paquetes UDP malformados antes de completar el handshake QUIC.

¿Cómo verifico si mi servidor está afectado?

Verifica la versión de tu producto LiteSpeed. Si usas LSWS < 6.3.4, OLS < 1.8.4, LSADC < 3.3.1, o LSQUIC < 4.3.1, tu servidor está vulnerable.

¿Puedo ser atacado sin tener HTTP/3 habilitado explícitamente?

Si tu servidor LiteSpeed tiene QUIC habilitado (que puede estar activo por defecto), estás potencialmente vulnerable. La vulnerabilidad afecta el procesamiento de paquetes QUIC independientemente de la configuración HTTP/3.

¿Qué debo hacer si no puedo actualizar inmediatamente?

Como medida temporal, puedes deshabilitar HTTP/3 y QUIC en la configuración de tu servidor LiteSpeed hasta que puedas aplicar las actualizaciones de seguridad.

¿Esta vulnerabilidad afecta solo a LiteSpeed?

Esta vulnerabilidad específica (CVE-2025-54939) afecta únicamente a la implementación LSQUIC utilizada por productos LiteSpeed. Otras implementaciones QUIC como Quiche no están afectadas por esta falla particular.

¿Hay evidencia de explotación activa en el wild?

Hasta el momento no se ha reportado explotación activa de esta vulnerabilidad. Sin embargo, dada la facilidad de explotación, se recomienda aplicar los parches inmediatamente.

¿Cómo puedo monitorear posibles ataques?

Monitorea el uso de memoria del proceso del servidor, logs de errores relacionados con allocation, tráfico UDP inusual al puerto QUIC, y crashes del servidor. Implementa alertas para picos de memoria anómalos.

¿Debo reiniciar el servidor después de la actualización?

Sí, después de actualizar a las versiones parcheadas, es necesario reiniciar el servicio del servidor web para que los cambios surtan efecto y la nueva versión de LSQUIC se cargue correctamente.

¿Esta vulnerabilidad afecta el rendimiento después del parche?

Los parches de seguridad generalmente no deberían afectar significativamente el rendimiento. LiteSpeed ha optimizado las correcciones para minimizar cualquier impacto en el rendimiento del servidor.

¿Necesito actualizar también mis certificados SSL/TLS?

No, esta vulnerabilidad no afecta los certificados SSL/TLS. Solo necesitas actualizar el software del servidor a las versiones parcheadas mencionadas.

Fuentes verificadas: LiteSpeed Technologies, Imperva Security Research, National Vulnerability Database (NVD)

Recomendación de seguridad: Aplicar actualizaciones inmediatamente en entornos de producción

Noticias de informática:

  1. ERROR: Price specification not found for currency:
  2. KeePass: un gestor de contraseñas con un agujero peligroso
  3. [error] 20175#0: *2684325 upstream timed out (110: Connectio n timed out) while reading response header from upstream
  4. mod_fcgid: can’t apply process slot for /var/www/cgi-bin/cgi_wrapper/cgi_wrapper

Por admin

Entrada relacionada

Seguridad Fallos de Seguridad Uncategorized

Veeam urge a actualizar tras detectar vulnerabilidades críticas

May 26, 2024 admin
Uncategorized Apache Errores Sistemas

mod_fcgid: can’t apply process slot for /var/www/cgi-bin/cgi_wrapper/cgi_wrapper

Oct 1, 2023 admin
Uncategorized

[error] 20175#0: *2684325 upstream timed out (110: Connectio n timed out) while reading response header from upstream

May 21, 2023 admin

Deja una respuesta

You missed

Uncategorized

Vulnerabilidad Crítica QUIC-LEAK Permite Ataques DoS Pre-Handshake en Servidores LiteSpeed

23/08/2025 admin
Sistemas Linux

Debian 13 «Trixie»: Migración estratégica para entornos web y sistemas críticos

23/08/2025 admin
Sistemas Linux

Forzar IPV4 en Postfix con Debian 10

23/08/2025 admin
Seguridad Fallos de Seguridad iPhone Mac Mac os

Apple Corrige Vulnerabilidad Zero-Day Crítica en iOS, iPadOS y macOS (CVE-2025-43300)

23/08/2025 admin
Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock