La Agencia de Seguridad Cibernética e Infraestructura de EE.UU. UU. (CISA) ha revelado que una agencia federal fue víctima de un ciberataque que explotó una vulnerabilidad no parchada en el software GeoServer. El fallo, identificado como CVE-2024-36401, permitió a los atacantes obtener ejecución remota de código (RCE) y escalar privilegios dentro de la red de la agencia.
Detalles y anatomía del ataque
La vulnerabilidad fue parcheada el 18 de junio de 2024, pero la agencia federal no había aplicado la actualización. Los atacantes aprovecharon esta ventana para infiltrarse. Según los informes, existen más de 16.000 instancias de GeoServer expuestas en Internet, lo que les dio a los atacantes una gran cantidad de objetivos potenciales.
El ataque se desarrolló en varias etapas:
- Compromiso inicial: Los atacantes explotan la vulnerabilidad de GeoServer para obtener el control del servidor.
- Movimiento lateral: Una vez dentro, se movieron lateralmente por la red para acceder a un servidor web y un servidor SQL.
- Acciones maliciosas: Subieron un web shell (China Chopper) para mantener el acceso. Luego, utilizaron scripts y ataques de fuerza bruta para robar contraseñas, escalar privilegios y usar cuentas de servicio para moverse por la red.
El ataque no fue detectado durante aproximadamente tres semanas. La alarma se activa cuando una herramienta de detección y respuesta de endpoints (EDR) marca un archivo sospechoso en el servidor SQL.
Recomendaciones
Este incidente subraya la importancia de una gestión de vulnerabilidades proactiva y un monitoreo constante. Para protegerse de amenazas similares, las organizaciones deben:
- Parchear de inmediato: Es fundamental mantener todos los servidores y software actualizados, especialmente si se trata de vulnerabilidades catalogadas como críticas y que se están explotando activamente.
- Identificar servidores expuestos: Realiza escaneos de tu red para identificar y proteger los servidores que están expuestos a Internet y que no deben estarlo.
- Fortalecer el monitoreo: Asegúrese de que sus herramientas de EDR y monitoreo estén configuradas para detectar actividades inusuales, como la creación de archivos sospechosos, conexiones inesperadas y el uso de cuentas de servicio.
- Segmentar la red: Si una parte de tu red está comprometida, la segmentación puede evitar que los atacantes se muevan fácilmente a otras áreas sensibles de tu infraestructura.
- Mejorar el control de acceso: Minimiza la exposición de cuentas con privilegios elevados, usa autenticación fuerte y asegúrate de que las cuentas de servicio estén aisladas.
