Redazione RHC : 26 septiembre 2025 07:47
Expertos de la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) han informado de un grave incidente: hackers accedieron a la red de una agencia federal civil aprovechando una vulnerabilidad crítica en el software del servidor GeoServer . El problema afectó a una versión de la plataforma sin parchear , lo que permitió a los atacantes ejecutar código de forma remota y posteriormente infiltrarse en el sistema.
La vulnerabilidad crítica, designada CVE-2024-36401, se corrigió oficialmente el 18 de junio de 2024, pero muchos servidores permanecieron sin parchear. Aproximadamente un mes después, CISA la añadió a su registro público de vulnerabilidades explotadas activamente. Esto se debió a la publicación de exploits de demostración publicados por varios investigadores, que demostraron que la vulnerabilidad permite la ejecución de código arbitrario en equipos sin protección.
Como se detalla en la publicación de CISA, el servicio Shadowserver detectó una ola de ataques relacionados con esta vulnerabilidad ya el 9 de julio de 2024. Según la plataforma OSINT de ZoomEye, había más de 16.000 servidores GeoServer accesibles externamente en la red.
A través de uno de estos servidores, los atacantes penetraron en el sistema informático de una agencia estadounidense no identificada. Apenas dos días después de que comenzaran los ataques, el primer servidor fue hackeado, seguido por un segundo un par de semanas después.
El siguiente paso fue hackear el servidor web interno y la base de datos SQL. El informe de la CISA afirma que los hackers instalaron shells web , incluyendo China Chopper, y scripts especializados en las computadoras para control remoto, robo de datos, escalada de privilegios y ejecución de comandos.
Tras penetrar la infraestructura, los atacantes pasaron a una fase activa de recopilación de datos, utilizando, como señala CISA, el descifrado de contraseñas por fuerza bruta (Táctica T1110) y el secuestro de cuentas de servicio mediante componentes vulnerables. Durante este periodo de aproximadamente tres semanas, la actividad maliciosa permaneció sin detectar.
La alerta no llegó hasta el 31 de julio de 2024, cuando la herramienta de detección integrada de endpoints (EDR) identificó un archivo sospechoso en SQL Server y envió una señal al Centro de Operaciones de Seguridad (SOC). A partir de ese momento, la agencia, con la ayuda de CISA, inició una investigación interna y puso en cuarentena los sistemas afectados.
Unos días después del incidente inicial , CISA emitió un aviso separado para la infraestructura crítica de EE. UU., enfatizando la importancia del análisis proactivo de vulnerabilidades.
Si bien no se detectaron señales de una violación, la auditoría destacó una amplia gama de riesgos: almacenamiento inseguro de contraseñas, credenciales duplicadas para administradores locales, acceso remoto abierto, segmentación de red configurada incorrectamente y registro de eventos inadecuado.
RedazioneEn unos años, Irlanda y Estados Unidos estarán conectados por un cable de comunicaciones submarino diseñado para ayudar a Amazon a mejorar sus servicios AWS . Los cables submarinos son una parte fu...
No se trata “ solo de mayor velocidad ”: ¡el 6G cambia la naturaleza misma de la red! Cuando hablamos de 6G, corremos el riesgo de reducirlo todo a una simple mejora de velocidad, como si la red ...
En septiembre se publicó una nueva vulnerabilidad que afecta a Notepad++. Esta vulnerabilidad, identificada como CVE-2025-56383, puede consultarse en el sitio web del NIST para obtener más informaci...
Google ha emitido un aviso urgente sobre una vulnerabilidad crítica en Android que permite a los atacantes ejecutar código arbitrario en el dispositivo sin interacción del usuario. La vulnerabilida...
El 29 de octubre, Microsoft publicó un fondo de pantalla para conmemorar el undécimo aniversario del programa Windows Insider , y se especula que fue creado utilizando macOS. Recordemos que Windows ...
