Se ha identificado una vulnerabilidad de severidad crítica (CVSS 9.8) en Apache bRPC, catalogada como CVE-2025-60021. Esta falla permite la inyección de comandos remotos mediante la manipulación de entradas no confiables en el parámetroextra_options del servicio /pprof/heap. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario con los privilegios del servicio afectado.
La vulnerabilidad se localiza en el componente heap profiler del servicio integrado de Apache bRPC. Al enviar solicitudes diseñadas específicamente al endpoint /pprof/heap, el sistema no valida adecuadamente los argumentos pasados a través de extra_options, lo que permite que comandos del sistema operativo sean interpretados y ejecutados directamente por el servidor.
Contexto de la amenazas
- CVE-2025-60021: Inyección de comandos remotos (RCE) en el servicio heap builtin de Apache bRPC.
- Tipo: Inyección de Comandos (CWE-78).
- Puntuación CVSS: 9.8 (Crítica).
- Vector de Ataque: Red (Network). No requiere privilegios elevados ni interacción del usuario.
- Afecta: Versiones de Apache bRPC anteriores a la 1.15.0.
Impacto
La explotación de esta vulnerabilidad permite la ejecución de código, otorgando al atacante un control total del proceso bRPC, lo que facilita el movimiento lateral con el potencial de comprometer otros servicios dentro de la infraestructura interna desde el servidor vulnerado; asimismo, este escenario deriva en la exfiltración de datos al habilitar el acceso no autorizado a información sensible procesada directamente por el framework RPC.
Versiones afectadas y soluciones
- Versiones Afectadas: todas las versiones de Apache bRPC anteriores a la 1.15.0.
- Versión Corregida: Apache bRPC v1.15.0 o superior.
Indicadores de compromiso (IoC)
- Solicitudes HTTP dirigidas al endpoint /pprof/heap que contengan caracteres especiales de ejecución de comandos (ej. ;, |, &, $()) en el parámetro extra_options.
- Procesos secundarios inusuales generados por el binario de bRPC.
- Logs del servidor mostrando errores de ejecución en el componente profiler.
Recomendaciones
Acciones inmediatas:
- Actualización Urgente: actualizar Apache bRPC a la versión 1.15.0 de manera inmediata.
- Restricción de Acceso: deshabilitar o restringir el acceso a los servicios /pprof/ mediante listas de control de acceso (ACLs) o firewalls, permitiendo solo IPs de administración confiables.
Acciones preventivas:
- Desactivar los servicios de diagnóstico y profiling en entornos de producción si no son estrictamente necesarios.
- Implementar un WAF (Web Application Firewall) con reglas específicas para detectar patrones de inyección de comandos en parámetros URL.
- Ejecutar el servicio bRPC bajo un usuario con privilegios mínimos (principio de menor privilegio) para limitar el impacto de una posible explotación.
Referencias:
[1] Apache Software Foundation — «Security Advisory for Apache bRPC CVE-2025-60021». Disponible en: https://brpc.apache.org/
[2] ZoomEye NetSec — «Apache bRPC: Remote command injection vulnerability in heap builtin service». Disponible en: https://www.zoomeye.org/
[3] NIST National Vulnerability Database — «CVE-2025-60021 Analysis». Disponible en: https://nvd.nist.gov/