Apache HTTP/2 (CVE-2026-23918): doble-free que habilita DoS y RCE en 2.4.66

Introducción

En abril de 2026, el equipo de Apache HTTP Server liberó el parche para la versión 2.4.67, resolviendo —entre otras— la vulnerabilidad CVE-2026-23918 (CVSS 8.8), catalogada como crítica por su potencial de denegación de servicio (DoS) y ejecución remota de código (RCE). El vector de ataque se activa al combinar un double-free en mod_http2 con condiciones específicas de memoria compartida en el Apache Portable Runtime (APR).

La explotación exitosa no requiere autenticación, credenciales especiales ni URLs específicas. Basta con enviar un frame HTTP/2 HEADERS seguido de un RST_STREAM con código de error no cero en la misma conexión TCP. En entornos con MPM worker o event, el servidor recicla el worker process afectado, pero cada nueva petición en ese proceso falla hasta agotar la capacidad de respuesta del servicio.

Qué ocurrió

El fallo reside en h2_mplx.c (módulo mod_http2), específicamente en la función h2_mplx_c1_client_rst y su manejo de limpieza de streams. Cuando un cliente envía:

1. Un frame HTTP/2 HEADERS (sin body).
2. Un RST_STREAM con código de error no cero (ej: PROTOCOL_ERROR = 1).

… antes de que el multiplexer registre el stream, se disparan dos callbacks de nghttp2 en secuencia:

• on_frame_recv_cb (para el RST).
• on_stream_close_cb (para el cierre).

Ambos llaman a h2_mplx_c1_client_rst -> m_stream_cleanup, que agrega dos veces el mismo puntero h2_stream al array spurge. Más tarde, c1_purge_streams itera sobre spurge y ejecuta h2_stream_destroy -> apr_pool_destroy dos veces sobre la misma dirección de memoria ya liberada.

Esto provoca:

• DoS trivial: el worker process muere; Apache lo reinicia, pero cada petición en ese proceso es descartada.
• RCE condicional: solo posible si el APR usa el allocator mmap (default en Debian y en la imagen oficial de Docker httpd). La explotación requiere:

2. Redirección de pool_cleanup a system().

3. Memoria estable del scoreboard: Apache mantiene el scoreboard en una dirección fija durante la vida del servidor (incluso con ASLR), lo que facilita el heap spray.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

• CVSS 8.8: riesgo alto según NIST (https://nvd.nist.gov/vuln/detail/CVE-2026-23918).
• MPM prefork: no afectado (solo MPM worker y event).
• Mod_http2: activado por defecto en builds estándar de Apache 2.4.66.
• Imagen Docker oficial: httpd:2.4.66 incluye mod_http2 y APR con mmap.

Detalles técnicos

Versiones afectadas

• Apache HTTP Server: 2.4.66 (parcheado en 2.4.67).
• Imagen oficial httpd:2.4.66 (Docker Hub) con mod_http2 activado y APR mmap.

Componentes críticos

1. mod_http2: módulo para soporte HTTP/2. Incluido por defecto en builds estándar.
2. h2_mplx.c: archivo donde ocurre el double-free en h2_mplx_c1_client_rst.
3. APR mmap allocator: usado por defecto en Debian, Ubuntu y la imagen oficial de Docker httpd. Permite reutilización de memoria mmap para el ataque RCE.

Vector de ataque reproducible

# Ejemplo mínimo de explotación (DoS)
echo -ne "\x00\x00\x00\x0C\x01\x04\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x01\x03\x00\x00\x00\x01\x03" | nc <IP_SERVIDOR> 443

• Primer frame (HEADERS): 0x00..0C (longitud 12), tipo 0x01 (HEADERS), flags 0x04 (END_HEADERS).
• Segundo frame (RST_STREAM): 0x03 (tipo RST_STREAM), error code 0x00000001 (PROTOCOL_ERROR).

Prueba de concepto (RCE) según investigador

El equipo de Striga.ai (@bmdimt y Stanislaw Strzalkowski) logró ejecutar código en laboratorios con:

• Sistema: x86_64 Debian 12.
• APR: mmap allocator activado.
• Tiempo de explotación: minutos en condiciones controladas.

• Requiere info leak para direcciones de system() y offsets del scoreboard.
• La explotación es probabilística (heap spray).

Qué deberían hacer los administradores y equipos técnicos

1. Actualizar Apache HTTP Server inmediatamente

• Paquetes Debian/Ubuntu:

  sudo apt update && sudo apt upgrade -y apache2
  

Verificar versión:

  apache2 -v | grep "Server version"
  

• Imagen Docker oficial:

  docker pull httpd:2.4.67
  docker run --rm -it httpd:2.4.67 httpd -v
  

2. Desactivar mod_http2 si no es crítico

Si el servicio no requiere HTTP/2:

sudo a2dismod http2
sudo systemctl restart apache2

3. Usar MPM prefork en entornos críticos

El fallo no afecta a prefork. Configurar en /etc/apache2/mods-available/mpm_prefork.conf:

<IfModule mpm_prefork_module>
    StartServers              5
    MinSpareServers           5
    MaxSpareServers          10
    MaxRequestWorkers        150
    MaxConnectionsPerChild  0
</IfModule>

Reiniciar Apache:

sudo systemctl restart apache2

4. Implementar mitigaciones adicionales en entornos Docker

• Usar imágenes minimalistas: httpd:2.4.67-alpine (sin mod_http2 por defecto).
• Restringir puertos: exponer solo 80/443.
• Limitar recursos: --memory y --cpus.
• Network policies: usar docker network create con ACLs.

Ejemplo de docker-compose.yml seguro:

version: '3.8'
services:
  web:
    image: httpd:2.4.67-alpine
    ports:
      - "80:80"
      - "443:443"
    deploy:
      resources:
        limits:
          cpus: '1'
          memory: 512M

5. Monitorear y bloquear patrones de ataque

• Reglas en WAF (ModSecurity/Nginx):

  SecRuleEngine On
  SecRule REQUEST_HEADERS:Content-Type "@rx ^application/grpc" \
    "id:1001,phase:1,t:none,log,deny,status:403"
  

• Logs de Apache:

  sudo tail -f /var/log/apache2/error.log | grep "h2_mplx"
  

6. Validar entornos con herramientas de seguridad

• Nmap con scripts NSE:

  nmap -p 80,443 --script http-vuln-cve2026-23918 <IP>
  

• OpenVAS/GVM: escanear con plugin específico para CVE-2026-23918.

Conclusión

CVE-2026-23918 representa un riesgo crítico para despliegues con Apache HTTP/2 en producción. La explotación combinada de DoS y RCE —aunque condicional— exige acción inmediata: actualizar a Apache 2.4.67, evaluar la necesidad de mod_http2, y aplicar mitigaciones en entornos Docker y cloud.

Los equipos de DevOps deben priorizar:

1. Parcheo urgente en versiones 2.4.66.
2. Auditoría de imágenes Docker (evitar httpd:2.4.66).
3. Hardening de MPM (preferir prefork en servicios críticos).
4. Monitoreo de patrones HTTP/2 anómalos en logs y WAF.

Ignorar esta vulnerabilidad expone a caídas de servicio y, en condiciones específicas, a ejecución remota de código. La ventana de exposición debe cerrarse antes de que actores malintencionados repliquen las técnicas publicadas por los investigadores.