Underc0de - La Casa de los Informáticos

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Julio 17, 2026, 09:27:19 PM

Título: HollowByte: vulnerabilidad DoS en OpenSSL pone en riesgo servidores TLS
Publicado por: Dragora en Julio 17, 2026, 09:27:19 PM
(https://i.imgur.com/h5ntox6.png)

La seguridad de las comunicaciones cifradas en Internet enfrenta un nuevo desafío tras el descubrimiento de HollowByte, una vulnerabilidad que afecta a OpenSSL y que permite a atacantes no autenticados provocar una denegación de servicio (DoS) utilizando una carga maliciosa de apenas 11 bytes. Aunque el problema no permite la ejecución remota de código ni el robo de información, su capacidad para consumir grandes cantidades de memoria y degradar el rendimiento de los servidores representa una amenaza significativa para organizaciones que dependen de servicios críticos en línea.

El fallo fue identificado por el Red Team de Okta, cuyos investigadores explicaron en detalle el mecanismo que hace posible el ataque. Como respuesta, el equipo de OpenSSL implementó una corrección de manera silenciosa y distribuyó el parche tanto para la versión principal como para varias ramas anteriores de la biblioteca.

Dado que OpenSSL es uno de los componentes criptográficos más utilizados del mundo, presente en millones de servidores, aplicaciones y dispositivos, la recomendación para empresas y administradores de sistemas es clara: actualizar inmediatamente a una versión corregida.

¿Qué es HollowByte?

HollowByte es una vulnerabilidad de denegación de servicio basada en el consumo de memoria, que explota la forma en que OpenSSL procesa determinados mensajes durante el establecimiento de una conexión segura mediante TLS (Transport Layer Security).

Durante el proceso de handshake TLS, cada mensaje comienza con una cabecera de cuatro bytes que especifica el tamaño del contenido que será enviado posteriormente. En las versiones vulnerables de OpenSSL, el servidor reserva memoria basándose únicamente en el tamaño indicado en esa cabecera, antes de comprobar que los datos realmente existen.

Este comportamiento genera una oportunidad para los atacantes.

Un ciberdelincuente únicamente necesita establecer una conexión TLS y enviar un paquete especialmente diseñado de 11 bytes, cuya cabecera indique falsamente que llegará un bloque de datos mucho mayor. El servidor confía en esa información, reserva memoria para almacenar el supuesto contenido y queda esperando indefinidamente unos datos que nunca serán enviados.

Cómo funciona el ataque

El ataque es especialmente eficiente porque requiere un ancho de banda extremadamente reducido.

En lugar de enviar grandes volúmenes de tráfico, el atacante abre múltiples conexiones simultáneas y repite el mismo procedimiento, provocando que el servidor reserve memoria para cada una de ellas.

Desde el punto de vista del consumo de red, el ataque pasa prácticamente desapercibido, ya que únicamente se transmiten pequeños paquetes de datos. Sin embargo, internamente el servidor comienza a consumir memoria de forma progresiva hasta degradar su rendimiento o quedarse sin recursos disponibles.

Esto convierte a HollowByte en un ataque particularmente peligroso para infraestructuras que dependen de la disponibilidad continua de sus servicios.

El papel de glibc en la persistencia del problema

Los investigadores de Okta también descubrieron que el comportamiento de la Biblioteca GNU C (glibc) agrava considerablemente el impacto del ataque.

Aunque OpenSSL libera la memoria cuando una conexión finaliza, glibc no devuelve inmediatamente al sistema operativo los bloques pequeños y medianos de memoria utilizados.

En su lugar, conserva esos espacios para reutilizarlos posteriormente.

Los atacantes aprovechan este comportamiento enviando múltiples conexiones con tamaños de memoria falsamente declarados y variables, lo que provoca una intensa fragmentación del montón de memoria (heap).

Como consecuencia, el Resident Set Size (RSS) del proceso continúa creciendo incluso después de que el atacante haya finalizado el ataque.

En muchos escenarios, la memoria no puede recuperarse completamente hasta que el proceso afectado es reiniciado, prolongando el impacto operativo mucho después de haber cesado la actividad maliciosa.

Sistemas y plataformas afectados

La gravedad de HollowByte no reside únicamente en la técnica utilizada, sino en la enorme cantidad de software que depende de OpenSSL.

Esta biblioteca criptográfica constituye uno de los pilares fundamentales del cifrado moderno y se encuentra integrada en:


En otras palabras, cualquier organización que utilice servicios TLS respaldados por OpenSSL podría verse afectada si mantiene versiones vulnerables de la biblioteca.

Resultados obtenidos durante las pruebas

Durante sus investigaciones, Okta probó HollowByte sobre servidores NGINX en diferentes configuraciones.

Los resultados demostraron que los sistemas con recursos limitados pueden quedarse sin memoria en muy poco tiempo.

En servidores de mayor capacidad, el ataque llegó a consumir aproximadamente un 25 % de la memoria disponible, sin generar un volumen de tráfico suficientemente elevado como para activar muchos sistemas tradicionales de detección de ataques DoS.

Este comportamiento convierte a HollowByte en una amenaza especialmente difícil de identificar mediante herramientas que únicamente monitorizan el ancho de banda o el número de paquetes recibidos.

¿Por qué representa un riesgo importante?

Aunque las vulnerabilidades de denegación de servicio suelen recibir menos atención que aquellas que permiten ejecutar código remoto o robar información, sus consecuencias pueden ser igualmente graves.

Entre los principales riesgos destacan:


Para empresas que ofrecen servicios en línea, plataformas financieras, comercio electrónico o infraestructuras críticas, incluso unos minutos de indisponibilidad pueden traducirse en importantes pérdidas económicas.

Versiones corregidas de OpenSSL

El equipo de OpenSSL ya solucionó el problema mediante una actualización del manejo interno de los buffers.

En lugar de reservar inmediatamente la memoria indicada por la cabecera TLS, las versiones corregidas únicamente amplían el buffer cuando los datos comienzan realmente a recibirse.

Las versiones protegidas son:


Aunque OpenSSL clasifica esta modificación como una medida de endurecimiento (hardening) más que como una vulnerabilidad de seguridad tradicional, los especialistas de Okta recomiendan actualizar cuanto antes todas las instalaciones vulnerables.

Recomendaciones para proteger la infraestructura

Las organizaciones deberían adoptar una estrategia preventiva para minimizar el riesgo asociado a HollowByte:


En fin...

HollowByte demuestra que incluso pequeños errores en la gestión de memoria pueden convertirse en amenazas capaces de comprometer la disponibilidad de servicios críticos en Internet. Su capacidad para provocar un consumo sostenido de memoria utilizando únicamente paquetes de 11 bytes evidencia que los ataques modernos ya no necesitan grandes volúmenes de tráfico para resultar efectivos.

Debido a la enorme presencia de OpenSSL en servidores web, aplicaciones empresariales, plataformas cloud y distribuciones Linux, esta vulnerabilidad tiene un alcance potencialmente masivo. La rápida aplicación de las versiones corregidas y una estrategia sólida de monitoreo y actualización son fundamentales para evitar interrupciones operativas y garantizar la continuidad de los servicios. En un entorno donde la disponibilidad es tan importante como la confidencialidad y la integridad de los datos, mantener OpenSSL actualizado debe ser una prioridad para cualquier organización.

Fuente: https://www.bleepingcomputer.com/