Se ha emitido una advertencia de seguridad urgente respecto a una vulnerabilidad crítica recién descubierta en Nessus Agent de Tenable para entornos Windows. Esta falla estructural permite a un atacante local escalar sus privilegios al máximo nivel posible (SYSTEM), transformando irónicamente una herramienta diseñada para evaluar la postura de seguridad (el escáner de vulnerabilidades) en el vector principal para comprometer totalmente el endpoint o servidor anfitrión.
Anatomía del Ataque
El defecto pertenece a la categoría de vulnerabilidades de escalada de privilegios conocidas como ataques de enlaces simbólicos (Symlink Attack) o abuso de uniones (Junction Abuse). La mecánica de explotación opera de la siguiente forma:
- Mecánica de NTFS: En sistemas Windows, las “uniones” (Junctions) NTFS se utilizan legítimamente para redirigir las operaciones del sistema de archivos de un directorio a otro de forma transparente.
- Falta de Validación: El servicio de Nessus Agent, que opera inherentemente con privilegios extremadamente altos, no valida de manera segura las rutas de destino cuando procesa e interactúa con estas uniones durante sus rutinas operativas (específicamente en tareas de eliminación de archivos).
- Inyección Local: Un atacante con acceso local, incluso con permisos limitados de usuario estándar, puede plantar una unión de directorio maliciosa en una ubicación de la estructura de archivos que el servicio de Nessus Agent inspecciona regularmente.
- Redirección y Borrado Crítico: Al desencadenarse la rutina del agente, este es engañado para que siga la unión creada por el atacante, redirigiendo la acción de eliminación hacia un archivo o directorio protegido del sistema operativo.
- Escalada a Ejecución de Código: Tras lograr la eliminación arbitraria de archivos bajo el contexto SYSTEM, la condición de vulnerabilidad entra en cascada. El atacante puede corromper el entorno operativo de manera controlada y depositar una carga útil (payload) maliciosa que será ejecutada bajo el privilegio máximo de la máquina.
Impacto
Dado que Nessus Agent se despliega de manera masiva en redes empresariales para el monitoreo continuo, el impacto de una explotación exitosa es catastrófico para la organización:
- Control Absoluto del Sistema: El acceso SYSTEM supera las restricciones de cualquier cuenta de administrador estándar. El atacante obtiene la capacidad de instalar rootkits, acceder a bases de datos en texto plano y extraer credenciales alojadas en la memoria (LSASS).
- Ceguera Defensiva: Con este nivel de acceso, el cibercriminal puede desactivar permanentemente las soluciones de protección de endpoints (EDR/XDR) y el antivirus nativo de la organización.
- Persistencia Profunda: Facilita el despliegue de malware que sobrevive a reinicios del sistema, estableciendo una cabeza de puente ideal para el movimiento lateral y el despliegue de ransomware en toda la red corporativa.
Recomendaciones y Mitigación
Tenable ha reconocido la gravedad de la vulnerabilidad y ha publicado la corrección en su canal oficial. Las áreas de infraestructura y DevSecOps deben tomar acción expedita:
- Actualización Mandatoria (Prioridad 0): Actualizar inmediatamente todas las instalaciones de Nessus Agent en sistemas Windows a la versión 11.1.3 a través del Tenable Downloads Portal. Esta implementación debe ser tratada como un despliegue de prioridad crítica.
- Priorización de Activos: En infraestructuras de gran escala, comenzar el parcheo por los servidores de alto valor (Controladores de Dominio, servidores de bases de datos, pasarelas VPN) y sistemas adyacentes a Internet.
- Monitorización Conductual (Hunting): Mientras se despliega el parche, configurar alertas en el SOC para monitorear la creación inusual de uniones NTFS (directory junctions) que apunten a los directorios de instalación de Tenable o hacia carpetas críticas del sistema (como C:\Windows\System32\), especialmente si son generadas por cuentas de usuario no administrativas.
