la caza del zero day como los ciberdelincuentes explotaron una vulnerabilidad critica en fortra

La caza del zero-day: cómo los ciberdelincuentes explotaron una vulnerabilidad crítica en Fortra

PorCarlos Ribeiro

Acabo de recibir un informe técnico sobre un caso que ilustra perfectamente lo que llevamos años advirtiendo en ciberseguridad: los parches llegan tarde. Fortra, fabricante de la popular solución de transferencia segura de archivos GoAnywhere MFT, acaba de encontrarse en el peor escenario posible: su software ha sido explotado activamente durante ocho días antes de que pudieran lanzar un parche.

Anatomía de una vulnerabilidad perfecta para atacantes

La vulnerabilidad en cuestión, catalogada como CVE-2025-10035, ha recibido la máxima puntuación de gravedad (10/10) en la escala CVSS, y por buenas razones. No es simplemente un fallo más, sino que permite a atacantes remotos ejecutar código sin necesidad de autenticarse en el sistema. Traducido a lenguaje cotidiano: es como si dejaras las llaves de tu casa puestas en la cerradura mientras te vas de vacaciones.

El problema técnico es complejo pero fascinante. Lo que comenzó siendo reportado como una simple deserialización insegura en el servlet de licencia de GoAnywhere MFT resultó ser una combinación letalmente eficaz de tres fallos distintos:

  1. Un bypass de control de acceso conocido desde 2023
  2. La vulnerabilidad de deserialización insegura recién descubierta
  3. Un mecanismo aún no explicado que permite a los atacantes conocer una clave privada específica

Esta combinación permite a cualquier atacante con las habilidades adecuadas crear firmados maliciosos que el sistema acepta como válidos, proporcionando acceso privilegiado al servidor.

Zero-day en acción: cronología de un desastre anunciado

Lo más alarmante de este caso es su cronología. Según watchTowr, firma de ciberseguridad que investiga el incidente:

  • 10 de septiembre de 2025: Primera evidencia de explotación en entornos reales
  • 11 de septiembre de 2025: Se descubre la vulnerabilidad
  • 18 de septiembre de 2025: Fortra finalmente libera parches y publica su aviso

Esto significa que durante más de una semana, los sistemas vulnerables estuvieron totalmente expuestos a ataques para los que no existía protección. Es la definición perfecta de un zero-day: una vulnerabilidad explotada activamente antes de que exista un parche disponible.

El ataque paso a paso: sofisticación y persistencia

Lo que hace a este caso particularmente interesante es la metodología empleada por los atacantes. No se limitaron a un simple ataque y fuga, sino que implementaron una estrategia en varias fases:

  1. Explotaron la vulnerabilidad para conseguir ejecución remota de código
  2. Crearon cuentas de administrador backdoor que les dieron acceso persistente
  3. Utilizaron estas cuentas para crear usuarios web adicionales
  4. Aprovecharon estos usuarios para subir y ejecutar payloads adicionales

Esta aproximación metódica demuestra que no estamos ante atacantes oportunistas, sino ante un grupo altamente organizado y con objetivos claros. La creación de backdoors sugiere que su intención era establecer una presencia duradera, posiblemente para extraer información sensible o como punto de acceso para futuros ataques más sofisticados.

El inmenso potencial de daño: 20,000 sistemas expuestos

Si el escenario no fuera ya suficientemente preocupante, watchTowr ha detectado más de 20,000 instancias de GoAnywhere MFT accesibles desde internet. Entre estas instalaciones se encuentran muchas pertenecientes a empresas del Fortune 500.

Considerando la naturaleza de GoAnywhere MFT, diseñado precisamente para transferir archivos confidenciales, estamos hablando de sistemas que potencialmente contienen o gestionan algunos de los datos más sensibles de estas organizaciones.

El misterio de la clave privada

Hay un aspecto del ataque que sigue desconcertando incluso a los expertos. Tanto watchTowr como Rapid7, que han analizado independientemente el incidente, destacan que no han podido determinar cómo los atacantes obtuvieron acceso a la clave privada ‘serverkey1’, necesaria para falsificar las firmas de licencia.

Las hipótesis actuales plantean tres escenarios:

  1. La clave privada se filtró previamente
  2. Los atacantes manipularon un servidor de licencias legítimo para que firmara contenido malicioso
  3. Existe algún método desconocido para obtener o reconstruir esta clave

Esta incógnita es especialmente preocupante, ya que sugiere que puede existir una vulnerabilidad adicional aún no descubierta o que ha habido una filtración importante que no ha sido reconocida.

La respuesta de Fortra: insuficiente pero necesaria

Fortra finalmente parcheó la vulnerabilidad el 18 de septiembre, proporcionando además indicadores de compromiso (IoCs) para ayudar a las organizaciones a determinar si habían sido afectadas. La recomendación principal ha sido contundente: «Asegúrese inmediatamente de que el acceso a la consola de administración de GoAnywhere no esté abierto al público.»

Esta respuesta, aunque tardía, proporciona al menos una vía para mitigar el problema. Sin embargo, deja abiertas muchas preguntas sobre la gestión inicial del incidente y sobre por qué no se mencionó explícitamente que la vulnerabilidad ya estaba siendo explotada activamente.

Lecciones aprendidas y camino a seguir

Este incidente subraya varias lecciones fundamentales de ciberseguridad que seguimos viendo una y otra vez:

  1. El tiempo entre descubrimiento y parcheado es crítico. Cada día cuenta.
  2. La exposición directa de interfaces administrativas a internet sigue siendo una mala práctica, incluso en 2025.
  3. Los sistemas de gestión de archivos son objetivos de alto valor para los atacantes.

Para las organizaciones que utilizan GoAnywhere MFT, el camino a seguir es claro:

  1. Aplicar inmediatamente los parches disponibles
  2. Verificar si existen indicios de compromiso usando los IoCs proporcionados
  3. Reevaluar la exposición pública de las interfaces administrativas
  4. Implementar defensa en profundidad, asumiendo que el perímetro puede ser comprometido

Este caso no es un incidente aislado, sino otro ejemplo más de una tendencia preocupante: la brecha entre el descubrimiento de vulnerabilidades y su parcheado efectivo sigue siendo una ventana de oportunidad para los atacantes.

Como profesionales de la seguridad, debemos seguir presionando para acortar estos tiempos y mejorar nuestras capacidades de detección y respuesta ante zero-days. La carrera entre atacantes y defensores continúa, y cada día es más evidente que la ventaja la tiene quien actúa con mayor rapidez.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *