Redazione RHC : 26 septiembre 2025 07:47
Expertos de la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) han informado de un grave incidente: hackers accedieron a la red de una agencia federal civil aprovechando una vulnerabilidad crítica en el software del servidor GeoServer . El problema afectó a una versión de la plataforma sin parchear , lo que permitió a los atacantes ejecutar código de forma remota y posteriormente infiltrarse en el sistema.
La vulnerabilidad crítica, designada CVE-2024-36401, se corrigió oficialmente el 18 de junio de 2024, pero muchos servidores permanecieron sin parchear. Aproximadamente un mes después, CISA la añadió a su registro público de vulnerabilidades explotadas activamente. Esto se debió a la publicación de exploits de demostración publicados por varios investigadores, que demostraron que la vulnerabilidad permite la ejecución de código arbitrario en equipos sin protección.
Como se detalla en la publicación de CISA, el servicio Shadowserver detectó una ola de ataques relacionados con esta vulnerabilidad ya el 9 de julio de 2024. Según la plataforma OSINT de ZoomEye, había más de 16.000 servidores GeoServer accesibles externamente en la red.
A través de uno de estos servidores, los atacantes penetraron en el sistema informático de una agencia estadounidense no identificada. Apenas dos días después de que comenzaran los ataques, el primer servidor fue hackeado, seguido por un segundo un par de semanas después.
El siguiente paso fue hackear el servidor web interno y la base de datos SQL. El informe de la CISA afirma que los hackers instalaron shells web , incluyendo China Chopper, y scripts especializados en las computadoras para control remoto, robo de datos, escalada de privilegios y ejecución de comandos.
Tras penetrar la infraestructura, los atacantes pasaron a una fase activa de recopilación de datos, utilizando, como señala CISA, el descifrado de contraseñas por fuerza bruta (Táctica T1110) y el secuestro de cuentas de servicio mediante componentes vulnerables. Durante este periodo de aproximadamente tres semanas, la actividad maliciosa permaneció sin detectar.
La alerta no llegó hasta el 31 de julio de 2024, cuando la herramienta de detección integrada de endpoints (EDR) identificó un archivo sospechoso en SQL Server y envió una señal al Centro de Operaciones de Seguridad (SOC). A partir de ese momento, la agencia, con la ayuda de CISA, inició una investigación interna y puso en cuarentena los sistemas afectados.
Unos días después del incidente inicial , CISA emitió un aviso separado para la infraestructura crítica de EE. UU., enfatizando la importancia del análisis proactivo de vulnerabilidades.
Si bien no se detectaron señales de una violación, la auditoría destacó una amplia gama de riesgos: almacenamiento inseguro de contraseñas, credenciales duplicadas para administradores locales, acceso remoto abierto, segmentación de red configurada incorrectamente y registro de eventos inadecuado.
RedazioneEn el Reino Unido, Jason y Luke Stoner, padre e hijo, transformaron un antiguo autobús escolar en un museo itinerante dedicado a ordenadores y consolas retro. La inspiración surgió cuando Luke visi...
El 15 de octubre de 2025 se cumple un aniversario de excepcional importancia en la historia de la seguridad nacional italiana: cien años del nacimiento del Servicio de Información Militar (SIM) , el...
Este año, OpenAI anunció una serie de proyectos con gobiernos extranjeros para crear sistemas de IA soberanos. Según la compañía, algunos de estos acuerdos se están negociando actualmente con la...
Un nuevo e inusual método de jailbreak , el arte de sortear las limitaciones impuestas a la inteligencia artificial, ha llegado a nuestra redacción. Fue desarrollado por el investigador de seguridad...
El otro día, en LinkedIn, me encontré conversando con alguien muy interesado en el tema de la inteligencia artificial aplicada al derecho. No fue una de esas conversaciones de bar con palabras de mo...
