Detectado fallo de seguridad afectacion a NetScaler “HTTP/2 Bomb” denial-of-service issue (CVE-2026-49975)
En el día de ayer, se confirmo un fallo de seguridad que afecta a los NetScaler que afecta a gran parte de las implementaciones existentes, este afecta a “HTTP/2 Bomb” denial-of-service issue (CVE-2026-49975).
Disponeis de información sobre este en: https://www.cve.org/CVERecord?id=CVE-2026-49975
Se trata de Una vulnerabilidad de asignación de memoria con un valor de tamaño excesivo en el módulo mod_http del servidor HTTP Apache provoca una denegación de servicio mediante solicitudes HTTP maliciosas. Este problema afecta al servidor HTTP Apache desde la versión 2.4.17 hasta la 2.4.67.
Citrix está al tanto de la vulnerabilidad de denegación de servicio «HTTP/2 Bomb» (CVE-2026-49975), divulgada el 3 de junio de 2026, y confirma que NetScaler se ve afectado cuando HTTP/2 está habilitado. Nuestros equipos de ingeniería y seguridad están evaluando activamente el problema, validando las medidas de mitigación y preparando una solución. Estamos tratando este asunto con urgencia y compartiremos los plazos actualizados tan pronto como estén disponibles.
El problema de la “bomba HTTP/2” es una técnica de denegación de servicio recientemente descubierta que aprovecha la forma en que algunas implementaciones de HTTP/2 procesan la compresión de encabezados y el control de flujo. En la práctica, permite a un atacante enviar una cantidad relativamente pequeña de tráfico que puede generar una carga desproporcionada de trabajo y un consumo excesivo de memoria en el sistema objetivo. El resultado puede ser el agotamiento de los recursos y la degradación de la disponibilidad del servicio para las aplicaciones conectadas a Internet.
Según Citrix la evaluación actual, las implementaciones de NetScaler con HTTP/2 habilitado son vulnerables a este tipo de ataque. El principal riesgo es la denegación de servicio debido al elevado consumo de recursos, lo que podría afectar la disponibilidad de las aplicaciones y los servicios que utilizan NetScaler.
La respuesta de Citrix, Actuamos con rapidez para investigar el problema tras su divulgación pública. Nuestros equipos están probando activamente medidas de mitigación y desarrollando una solución para el producto. Próximamente, proporcionaremos más información, incluyendo detalles sobre la solución y su disponibilidad. Recomendamos a los clientes que consulten nuestro canal oficial de comunicaciones de seguridad para estar al día de las últimas novedades.
Medidas provisionales recomendadas: Mientras finalizamos y publicamos la solución, los clientes deben revisar dónde está habilitado HTTP/2 en su entorno y evaluar si es necesario para los servicios con acceso a internet. Cuando sea apropiado, reduzca la exposición, aplique controles de limitación de velocidad y siga las mejores prácticas de protección contra ataques de denegación de servicio para minimizar el riesgo. Si observa patrones de tráfico inusuales o picos de uso de recursos, comuníquese con el soporte técnico para que podamos evaluar su entorno. Además, asegúrese de seguir las directrices de implementación segura de NetScaler para proteger su infraestructura.
Fuente Original: https://community.citrix.com/techzone-blogs/110_security-updates/understanding-http2-bomb-and-what-it-means-for-netscaler-r1296/
