Redazione RHC : 26 septiembre 2025 07:47
Expertos de la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) han informado de un grave incidente: hackers accedieron a la red de una agencia federal civil aprovechando una vulnerabilidad crítica en el software del servidor GeoServer . El problema afectó a una versión de la plataforma sin parchear , lo que permitió a los atacantes ejecutar código de forma remota y posteriormente infiltrarse en el sistema.
La vulnerabilidad crítica, designada CVE-2024-36401, se corrigió oficialmente el 18 de junio de 2024, pero muchos servidores permanecieron sin parchear. Aproximadamente un mes después, CISA la añadió a su registro público de vulnerabilidades explotadas activamente. Esto se debió a la publicación de exploits de demostración publicados por varios investigadores, que demostraron que la vulnerabilidad permite la ejecución de código arbitrario en equipos sin protección.
Como se detalla en la publicación de CISA, el servicio Shadowserver detectó una ola de ataques relacionados con esta vulnerabilidad ya el 9 de julio de 2024. Según la plataforma OSINT de ZoomEye, había más de 16.000 servidores GeoServer accesibles externamente en la red.
A través de uno de estos servidores, los atacantes penetraron en el sistema informático de una agencia estadounidense no identificada. Apenas dos días después de que comenzaran los ataques, el primer servidor fue hackeado, seguido por un segundo un par de semanas después.
El siguiente paso fue hackear el servidor web interno y la base de datos SQL. El informe de la CISA afirma que los hackers instalaron shells web , incluyendo China Chopper, y scripts especializados en las computadoras para control remoto, robo de datos, escalada de privilegios y ejecución de comandos.
Tras penetrar la infraestructura, los atacantes pasaron a una fase activa de recopilación de datos, utilizando, como señala CISA, el descifrado de contraseñas por fuerza bruta (Táctica T1110) y el secuestro de cuentas de servicio mediante componentes vulnerables. Durante este periodo de aproximadamente tres semanas, la actividad maliciosa permaneció sin detectar.
La alerta no llegó hasta el 31 de julio de 2024, cuando la herramienta de detección integrada de endpoints (EDR) identificó un archivo sospechoso en SQL Server y envió una señal al Centro de Operaciones de Seguridad (SOC). A partir de ese momento, la agencia, con la ayuda de CISA, inició una investigación interna y puso en cuarentena los sistemas afectados.
Unos días después del incidente inicial , CISA emitió un aviso separado para la infraestructura crítica de EE. UU., enfatizando la importancia del análisis proactivo de vulnerabilidades.
Si bien no se detectaron señales de una violación, la auditoría destacó una amplia gama de riesgos: almacenamiento inseguro de contraseñas, credenciales duplicadas para administradores locales, acceso remoto abierto, segmentación de red configurada incorrectamente y registro de eventos inadecuado.
RedazioneEl Departamento de Justicia de Estados Unidos y la policía británica han acusado a Talha Jubair, de 19 años, residente del este de Londres, quien los investigadores creen que es un miembro clave de...
Una carta abierta firmada por importantes fundaciones de código abierto ha alertado sobre el futuro de la infraestructura que sustenta el desarrollo de software moderno. La Fundación de Seguridad de...
Cisco ha revelado una vulnerabilidad de día cero, identificada como CVE-2025-20352, en su software IOS e IOS XE, ampliamente utilizado. Esta vulnerabilidad parece estar siendo explotada activamente. ...
El 20 de septiembre de 2025, un ciberataque afectó a tres de los principales aeropuertos de Europa: Londres-Heathrow, Bruselas y Berlín. Los sistemas digitales que gestionaban la facturación y la g...
Trabajé como ingeniero de sistemas durante varios años y una de mis responsabilidades era administrar Citrix PVS. Uno de los problemas con PVS era el análisis de los archivos de volcado. La única ...
