A Fundação Apache publicou adesivos críticos para o servidor HTTP após a descoberta de uma vulnerabilidade grave no manejo de HTTP/2 que pode resultar em recusa de serviço e, em determinadas condições, em execução remota de código. A versão corrigida é Apache HTTP Server 2.4.67 e a recomendação imediata para administradores é atualizar quanto antes as instâncias afetadas que ainda executem 2.4.66 ou anteriores.
O problema situa-se na lógica de limpeza de fluxos de mod_http2 e é um caso clássico de dupla liberação de memória que pode ser disparado por uma sequência de tramas HTTP/2 enviadas por um cliente. Em termos práticos, isto significa que um atacante remoto pode causar que um trabalhador se bloqueie com um par de pacotes bem formados; a recusa de serviço é trivial para reproduzir em implantação por defeito. A rota para execução remota de código (RCE) requer condições adicionais — um atribuídor de memória mmap em APR e uma cadeia de passos para reutilizar o endereço liberado — mas pesquisadores mostraram que é viável em laboratório sob as configurações comuns no Debian e na imagem Docker oficial de httpd.
Que a exploração de RCE dependa do atribuídor mmap e de elementos como o “scoreboard” do servidor converte algumas plataformas em objetivos mais atrativos: no Debian e na imagem oficial de Docker o comportamento por defeito facilita o encadeamento do exploit. As configurações multi-hilo com mod_http2 habilitado são as mais expostas; o MPM prefork não sofre este erro, pelo que mudar temporariamente para o pré-fork pode ser uma mitigação parcial em ambientes onde não seja possível adesivo imediatamente.
Além do adesivo, as medidas de mitigação imediatas a considerar são: actualizar para 2.4.67 em todos os servidores expostos, desactivar o mod_http2 se não for estritamente necessário e rever se o APR estiver a usar o alocador mmap (uma recompilação de APR sem mmap reduz a janela de exploração). Para ambientes em contentores, certifique-se de reconstruir e implantar imagens baseadas na versão corrigida do servidor e valide que as imagens em produção não sigam usando a versão vulnerável.
Operadores e equipamentos de segurança devem monitorizar indicadores claros de abuso: padrões de conexão que causam reinícios repetidos de workers, core dumps, ou entradas incomuns em registros de erro de httpd. Implementar limites de taxa a nível de balanceador ou corta-fogos, ou forçar a conclusão de HTTP/2 em um proxy/terminador TLS que esteja adesivo, pode conter ataques dirigidos enquanto se aplica a atualização no parque completo.
A vulnerabilidade foi relatada por pesquisadores independentes e sua qualificação CVSS (8.8 segundo o relatório) destaca seu impacto. Embora o caminho para a RCE exija condições técnicas adicionais e um certo grau de “spray” e fuga de informação, os ataques de recusa de serviço são simples e suficientes para justificar a prioridade no adesivo. Para mais detalhes técnicos e a lista oficial de correções consulte a página de segurança do Apache HTTP Server e a documentação do mod_http2. https://httpd.apache.org/security/vulnerabilities_24.html e https://httpd.apache.org/docs/2.4/mod/mod_http2.html.
Em resumo: aplique a versão 2.4.67 quanto antes, priorice servidores públicos e contêineres baseados na Debian ou a imagem oficial de httpd, considere mitigações temporárias como desativar mod_http2 ou mudar para pré-fork se não puder adesivos de imediato, e aumente a vigilância de eventos de estabilidade e tráfego anormais nas suas frentes HTTP/2.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...