Se han emitido dos boletines de seguridad de alta prioridad (CA26-15 y CA26-16) por parte de CyberArk, advirtiendo sobre una vulnerabilidad crítica que afecta a su integración Database Credentials Management Framework. Clasificada con una severidad Alta (CVSS de 8.3), esta falla estructural podría permitir la divulgación no autorizada de datos sensibles, comprometiendo directamente las credenciales de bases de datos administradas por la plataforma. Hasta el momento de esta publicación, CyberArk indica que no hay evidencia de explotación activa en la naturaleza (in the wild).
Anatomía de la Vulnerabilidad
Los avisos detallan que el riesgo de exposición afecta al entorno de gestión de contraseñas de bases de datos bajo dos contextos de instalación distintos:
- CA26-15 (Instalaciones Independientes): Afecta al Database Credentials Management Framework descargado desde el CyberArk Marketplace que no forma parte de la instalación predeterminada (Out-of-the-box o OOB) de CPM Self-hosted.
- CA26-16 (Instalaciones Integradas – OOB): Afecta al mismo framework cuando sí está integrado como parte de la instalación predeterminada (OOB) del Central Policy Manager (CPM). En este caso, impacta a las versiones de CPM 14.9 y sus parches anteriores a 14.9.1.
- Versiones Vulnerables: Todas las versiones del Database Credentials Management Framework anteriores a la 20.1.5 son vulnerables.
- Exclusión: Es importante destacar que la versión Database Credentials Management Framework – Legacy no se ve afectada por este fallo.
Impacto (Riesgo en el Almacén de Secretos)
- Compromiso de Bases de Datos Core: La divulgación de datos sensibles dentro de este marco implica que un atacante podría extraer en texto plano las credenciales de servicio utilizadas para administrar bases de datos corporativas.
- Escalada de Privilegios Lateral: Obtener credenciales válidas de bases de datos permite a los actores de amenazas pivotar silenciosamente hacia los repositorios de información más críticos de la organización (ERP, CRM, registros financieros), eludiendo los controles de acceso tradicionales.
- Pérdida de la Cadena de Confianza: Tratándose de una solución PAM (Gestión de Accesos Privilegiados), el compromiso de su propio framework debilita la postura de seguridad de “confianza cero” de la infraestructura.
Recomendaciones y Mitigación
Los boletines son explícitos en señalar que no existe ninguna mitigación temporal (workaround) para esta vulnerabilidad. La única vía de protección es el parcheo inmediato:
- Actualización del Framework (Vía Marketplace): Los administradores deben descargar e instalar de inmediato la versión 20.1.5 (o superior recomendada) del Database Credentials Management Framework directamente desde el CyberArk Marketplace para reemplazar las integraciones vulnerables.
- Actualización del Componente CPM (Para CA26-16): Para las organizaciones que utilizan la instalación OOB afectada, es obligatorio actualizar el Central Policy Manager (CPM) y el Privilege Cloud Connector a la versión parcheada 14.9.1.
- Auditoría de Accesos a Bases de Datos: Como medida proactiva, los equipos del SOC deben auditar los registros de acceso y las rotaciones de contraseñas de las bases de datos gestionadas por este framework durante los últimos 30 días, buscando inicios de sesión anómalos o extracciones masivas de datos que pudieran indicar una explotación encubierta.
