Una Práctica Insegura Expone Aplicaciones a Ciberataques
Microsoft ha emitido una advertencia sobre una práctica insegura en la que desarrolladores de software están utilizando claves de máquina ASP.NET expuestas públicamente. Esto pone en riesgo sus aplicaciones al abrir la puerta a ataques de inyección de código.
El equipo de inteligencia de amenazas de Microsoft detectó en diciembre de 2024 actividad sospechosa en la que un actor desconocido empleó una clave ASP.NET disponible públicamente para inyectar código malicioso y desplegar el framework de post-explotación Godzilla.
Más de 3,000 Claves en Riesgo
Microsoft ha identificado más de 3,000 claves de máquina publicadas en recursos públicos, lo que facilita un nuevo tipo de ataque denominado “inyección de código ViewState”. A diferencia de ataques previos donde las claves eran robadas o vendidas en foros de la dark web, estas claves están accesibles en múltiples repositorios de código y pueden haber sido incorporadas sin modificación al código de desarrollo.
El ViewState en ASP.NET permite preservar datos de control entre postbacks de una página web. Normalmente, estos datos se almacenan en un campo oculto y se codifican en base64 con una clave de autenticación de máquina (MAC). Si esta clave se filtra o es accesible por terceros no autorizados, los atacantes pueden manipular el ViewState y ejecutar código arbitrario en servidores IIS comprometidos.
Impacto y Consecuencias
Cuando una solicitud maliciosa es procesada por el entorno de ejecución de ASP.NET, el ViewState se valida correctamente con la clave filtrada, lo que permite la ejecución remota de código en el servidor objetivo. Esto le otorga al atacante control sobre el sistema afectado.
Microsoft ha publicado una lista de valores hash de las claves expuestas y recomienda a las organizaciones verificar si coinciden con las claves en sus entornos. Sin embargo, advierte que simplemente rotar las claves no es suficiente si el atacante ya ha establecido persistencia en el servidor.
Medidas de Mitigación
Para reducir el riesgo de estos ataques, se recomienda:
- Evitar copiar claves de fuentes públicas.
- Rotar claves periódicamente.
- Auditar entornos para detectar claves comprometidas.
- Implementar controles de seguridad adicionales en el manejo de ViewState.
Microsoft también ha eliminado las claves expuestas de su documentación en “instancias limitadas” para prevenir su uso indebido.
Seguridad en Kubernetes También en la Mira
Este hallazgo reveló una vulnerabilidad en OPA Gatekeeper que podría permitir la ejecución de acciones no autorizadas en entornos Kubernetes. Investigadores identificaron una falla en la política “k8sallowedrepos” que, si se configura incorrectamente, podría ser aprovechada para desplegar imágenes de contenedores no autorizadas.
Estos incidentes refuerzan la importancia de adoptar buenas prácticas en la gestión de claves y configuraciones de seguridad para evitar compromisos en entornos empresariales críticos.
