CyberArk ha emitido hoy un boletín de seguridad urgente (CA25-38) con una puntuación de gravedad crítica de 9.3 sobre 10. Lo sorprendente de este caso es que no se trata de un virus ni de un error de programación en su software. El problema reside en la documentación oficial.
Según el boletín, las guías anteriores de CyberArk instruían a los administradores a configurar los servicios de certificados de una manera que, sin saberlo, creaba un agujero de seguridad gigante en la red corporativa.
¿Cuál es el problema?
El fallo afecta a cómo se configuran las Plantillas de Certificados (Certificate Templates) en el Directorio Activo para el producto CyberArk Identity. La documentación antigua recomendaba dar permisos de “Inscripción” (Enroll) a grupos demasiado amplios, como “Usuarios Autenticados” (Authenticated Users) o “Equipos del Dominio”.
El impacto: Esto permite un ataque clásico contra los servicios de certificados (AD CS). Un atacante con acceso básico a la red podría solicitar un certificado digital haciéndose pasar por un administrador o cualquier otro usuario privilegiado. Básicamente, si sigues la guía antigua, le estás dando a cualquier empleado (o hacker infiltrado) la capacidad de falsificar su identidad y obtener acceso total al sistema.
Pasos para la Solución (Guía para Admins)
Como no hay “parche” de software para descargar, la solución requiere trabajo manual en tu Controlador de Dominio o Servidor de Autoridad Certificadora (CA).
Debes realizar esto de inmediato:
- Abre la consola de Certificate Templates en tu CA.
- Busca las plantillas llamadas:
- Computer-ClientAuth
- User-ClientAuth
- ELIMINA los permisos de “Enroll” (Inscribirse) para estos grupos masivos:
- Authenticated Users
- Domain Computers
- Domain Users
- AGREGA permisos de “Enroll” únicamente a:
- La cuenta de servicio de CyberArk Identity Connector (Esta cuenta debe ser tratada ahora como Tier Zero o de máxima seguridad).
El peligro de AD CS (Active Directory Certificate Services)
Este boletín es un recordatorio de que AD CS es una de las superficies de ataque más complejas y peligrosas. El crédito del hallazgo se le da a Martin Sohn Christensen de SpecterOps. Esto es relevante porque SpecterOps es la empresa que literalmente “escribió el libro” sobre ataques a certificados (su investigación Certified Pre-Owned es legendaria). Que ellos hayan encontrado esto significa que la configuración anterior era vulnerable a técnicas de ataque bien conocidas como ESC1 o similares.
Lección de “Tier Zero”
CyberArk advierte que la cuenta del conector ahora debe tratarse como Tier Zero. En lenguaje de Active Directory, esto significa que esa cuenta es tan poderosa como un “Administrador de Dominio”. Si alguien compromete esa cuenta del conector, puede emitir certificados para quien quiera. Protege esa cuenta con contraseñas largas, rotación automática y monitoreo constante.
Auditoría Post-Incidente
No basta con cambiar los permisos hoy. Debes auditar los certificados emitidos en el pasado. Si ves que un usuario normal (ej. empleado_ventas) solicitó un certificado usando la plantilla User-ClientAuth y ese certificado tiene atributos extraños, podrías tener a un intruso que aprovechó esta brecha antes de que la cerraras.
