la amenaza silenciosa cuando una vulnerabilidad antigua compromete redes gubernamentales

La amenaza silenciosa: cuando una vulnerabilidad antigua compromete redes gubernamentales

PorCarlos Ribeiro

Acabo de revisar un informe que me ha dejado pensando. La agencia de ciberseguridad estadounidense CISA ha publicado detalles sobre cómo una vulnerabilidad en GeoServer, conocida desde hace un año, fue explotada para comprometer una agencia federal. No hablamos de un fallo reciente, sino de algo que llevaba tiempo ahí, esperando a ser aprovechado. Y lo fue.

El fallo detrás del ataque: características de la vulnerabilidad

La vulnerabilidad en cuestión (CVE-2024-36401) tiene una puntuación CVSS de 9.8 sobre 10. Para que nos entendamos: es una vulnerabilidad crítica que permite la ejecución remota de código (RCE). Fue divulgada el 30 de junio de 2024 y solo dos semanas después, CISA la añadió a su catálogo de vulnerabilidades conocidas y explotadas (KEV).

Lo más preocupante no es solo la gravedad del fallo, sino la rapidez con la que los atacantes actuaron. El 11 de julio, apenas cuatro días antes de que CISA emitiera su alerta, los atacantes ya estaban explotando la vulnerabilidad.

Cronología del ataque: no fue algo improvisado

El ataque no fue un golpe único, sino una maniobra calculada en varias fases:

  1. Compromiso inicial (11 de julio): Los atacantes accedieron a una instancia de GeoServer de la agencia víctima.
  2. Movimiento lateral: Penetraron primero en un servidor web y luego en un servidor SQL.
  3. Persistencia y escalada: En cada sistema comprometido, dejaron shells web como China Chopper y scripts diseñados para mantener el acceso remoto.
  4. Segunda oleada (24 de julio): Diez días después de que CISA añadiera el fallo a la lista KEV, los atacantes volvieron a explotar la misma vulnerabilidad en otra instancia de GeoServer de la misma agencia.

Técnicas avanzadas de los atacantes

Lo que hace este caso particularmente interesante es la sofisticación de los métodos empleados. No estamos ante un simple grupo de script kiddies.

Estrategias de persistencia y evasión

Los atacantes:

  • Crearon trabajos cron y cuentas de usuarios para mantener el acceso permanente
  • Intentaron escalar privilegios, incluso explotando la vulnerabilidad Dirty COW en el kernel Linux
  • Después de comprometer las cuentas de servicio web, escalaron sus privilegios locales (aunque CISA no ha podido determinar exactamente cómo)
  • Usaron ataques de fuerza bruta para obtener contraseñas que les permitieron moverse lateralmente
  • Realizaron reconocimiento usando herramientas comunes y legítimas (técnicas «living-off-the-land»)
  • Desplegaron la herramienta Stowaway para el control y comunicación con los sistemas afectados

Lo más inquietante es que permanecieron sin ser detectados durante tres semanas. Tres semanas enteras con acceso a sistemas gubernamentales antes de que el SOC (Centro de Operaciones de Seguridad) de la organización identificara la intrusión usando su herramienta EDR.

¿Quién está detrás del ataque?

Oficialmente, CISA no ha atribuido el ataque a ningún actor específico. Sin embargo, hay pistas significativas. El uso del web shell China Chopper es particularmente revelador. Esta herramienta lleva más de una década siendo utilizada y se asocia típicamente con actores vinculados a China como APT41 (Brass Typhoon), Gallium (Granite Typhoon) y Hafnium (Silk Typhoon).

Silk Typhoon es especialmente interesante porque se cree que orquestó el año pasado el hackeo del Departamento del Tesoro de EE.UU. Este grupo es conocido por dirigirse a organizaciones de infraestructura crítica en todo el mundo y por hackear múltiples industrias en Norteamérica.

Lecciones que podemos extraer: no es solo cuestión de parches

El caso es particularmente instructivo porque la agencia víctima estaba técnicamente dentro del plazo de parcheado requerido por CISA para la vulnerabilidad. Entonces, ¿qué falló?

Deficiencias organizativas

  • Falta de procedimientos: No tenían protocolos claros para involucrar a terceros en caso de asistencia.
  • Fallos en la detección: No detectaron la actividad del 15 de julio, cuando se perdió una alerta EDR sobre Stowaway.
  • Protección incompleta: No tenían protección de endpoints implementada en el servidor web.

Como señala Piyush Sharma, CEO de Tuskira: «China Chopper lleva más de una década existiendo, y es el mismo web shell utilizado en los ataques a Exchange de 2021. El verdadero problema es que los atacantes encadenaron una vulnerabilidad conocida, se movieron lateralmente y permanecieron dentro de la red durante casi tres semanas antes de que alguien lo notara, incluso con EDR desplegado.»

Más allá de los zero-day: las vulnerabilidades conocidas siguen siendo un riesgo crítico

Lo que me llama la atención de este caso es que nos obsesionamos tanto con los zero-day que a veces olvidamos lo peligrosas que pueden ser las vulnerabilidades ya conocidas. No todo ataque sofisticado requiere exploits nunca vistos.

La realidad es que los atacantes bien organizados pueden hacer un daño enorme con vulnerabilidades ya documentadas. La cadena de explotación, el movimiento lateral y la permanencia prolongada son elementos que hacen que un ataque sea realmente peligroso, independientemente de si la puerta de entrada era una vulnerabilidad nueva o conocida.

En un mundo ideal, los parches se aplicarían inmediatamente y las herramientas de detección nunca fallarían. Pero vivimos en el mundo real, donde las organizaciones tienen limitaciones, procesos complejos y, a veces, fallos humanos. Es precisamente en esas grietas donde los atacantes encuentran su oportunidad.

Este caso nos recuerda que la ciberseguridad no es solo instalar parches, sino tener una visión completa de detección, respuesta y, sobre todo, procesos claros para cuando las cosas inevitablemente fallen.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *