Redazione RHC : 26 septiembre 2025 07:47
Expertos de la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) han informado de un grave incidente: hackers accedieron a la red de una agencia federal civil aprovechando una vulnerabilidad crítica en el software del servidor GeoServer . El problema afectó a una versión de la plataforma sin parchear , lo que permitió a los atacantes ejecutar código de forma remota y posteriormente infiltrarse en el sistema.
La vulnerabilidad crítica, designada CVE-2024-36401, se corrigió oficialmente el 18 de junio de 2024, pero muchos servidores permanecieron sin parchear. Aproximadamente un mes después, CISA la añadió a su registro público de vulnerabilidades explotadas activamente. Esto se debió a la publicación de exploits de demostración publicados por varios investigadores, que demostraron que la vulnerabilidad permite la ejecución de código arbitrario en equipos sin protección.
Como se detalla en la publicación de CISA, el servicio Shadowserver detectó una ola de ataques relacionados con esta vulnerabilidad ya el 9 de julio de 2024. Según la plataforma OSINT de ZoomEye, había más de 16.000 servidores GeoServer accesibles externamente en la red.
A través de uno de estos servidores, los atacantes penetraron en el sistema informático de una agencia estadounidense no identificada. Apenas dos días después de que comenzaran los ataques, el primer servidor fue hackeado, seguido por un segundo un par de semanas después.
El siguiente paso fue hackear el servidor web interno y la base de datos SQL. El informe de la CISA afirma que los hackers instalaron shells web , incluyendo China Chopper, y scripts especializados en las computadoras para control remoto, robo de datos, escalada de privilegios y ejecución de comandos.
Tras penetrar la infraestructura, los atacantes pasaron a una fase activa de recopilación de datos, utilizando, como señala CISA, el descifrado de contraseñas por fuerza bruta (Táctica T1110) y el secuestro de cuentas de servicio mediante componentes vulnerables. Durante este periodo de aproximadamente tres semanas, la actividad maliciosa permaneció sin detectar.
La alerta no llegó hasta el 31 de julio de 2024, cuando la herramienta de detección integrada de endpoints (EDR) identificó un archivo sospechoso en SQL Server y envió una señal al Centro de Operaciones de Seguridad (SOC). A partir de ese momento, la agencia, con la ayuda de CISA, inició una investigación interna y puso en cuarentena los sistemas afectados.
Unos días después del incidente inicial , CISA emitió un aviso separado para la infraestructura crítica de EE. UU., enfatizando la importancia del análisis proactivo de vulnerabilidades.
Si bien no se detectaron señales de una violación, la auditoría destacó una amplia gama de riesgos: almacenamiento inseguro de contraseñas, credenciales duplicadas para administradores locales, acceso remoto abierto, segmentación de red configurada incorrectamente y registro de eventos inadecuado.
RedazioneUn comando de servicio casi olvidado ha vuelto a cobrar protagonismo tras ser detectado en nuevos patrones de infección de dispositivos Windows. Considerado durante décadas una reliquia de los inici...
En el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
