Vulnerabilidades de Alto Riesgo en CyberArk PAM Exponen Componentes Centrales a Ataques DoS No Autenticados

CyberArk ha publicado dos nuevos boletines de seguridad (CA25-34 y CA25-35) que corrigen vulnerabilidades de severidad alta (CVSS 8.1 – 8.7) en componentes clave de su plataforma Privileged Access Manager (PAM). Ambas fallas pueden ser aprovechadas por atacantes no autenticados para provocar denegaciones de servicio (DoS) en entornos Self-Hosted o en la nube.

Boletín CA25-34: Falla en HTML5 Gateway

El primer boletín aborda una vulnerabilidad que afecta el acceso a la consola de administración web de CyberArk.

• Gravedad: Alta (CVSS 8.1).
• CVE Asociados: CVE-2025-50106, CVE-2024-30172.
• Impacto: Posible ataque de denegación de servicio (DoS) que afecta al HTML5 Gateway Server, utilizado para sesiones web seguras.
• Productos Afectados: HTML5 Gateway Container y RPM (Self-Hosted) en todas las versiones anteriores a 14.6 (incluida).
• solución:
  • Para la versión 14.6, actualice a 14.6.1.
  • Para la versión 14.2, actualice a 14.2.2.
  • Para la versión 14.0, actualice a 14.0.2.
• Mitigación Temporal: No disponible.
• Explotación Activa: No se han detectado casos en entornos de clientes.

Boletín CA25-35: Falla en PSM para SSH

El segundo informe aborda una condición de carrera que afecta la gestión de sesiones SSH.

• Gravedad: Alta (CVSS 8.7).
• Impacto: Condición de carrera (race condition) que puede generar una denegación de servicio (DoS), incluso sin autenticación previa, en el componente Privileged Session Manager for SSH (PSMP).
• Productos Afectados: PSMP (Self-Hosted) en todas las versiones anteriores a 14.6.1.
• solución:
  • Para la versión 14.6 (LTS), actualice a 14.6.1.
  • Para la versión 14.2 (LTS), actualice a 14.2.3.
  • Para la versión 14.0 (LTS), actualice a 14.0.4.
• Clientes PAM On Cloud: Se deben implementar las imágenes actualizadas: AWS BYOI (v14.2.16 / v14.6.1) o Azure BYOI (v14.2.15 / v14.6.1).
• Mitigación Temporal: No existe.
• Explotación Activa: No se ha observado uso malicioso hasta la fecha.

Recomendaciones

Ambas vulnerabilidades afectan los componentes críticos que gestionan secciones privilegiadas. Un DoS en estos sistemas puede ser utilizado como una técnica de distracción o un vector previo a movimientos laterales.

• Actualizar inmediatamente: Actualizar los componentes HTML5 Gateway y PSM for SSH a las versiones parcheadas indicadas por CyberArk. La actualización es la única mitigación disponible.
• Monitoreo de Sistema: Revisar logs de los servicios HTML5 Gateway y PSM for SSH buscando eventos de reconexión masiva o errores concurrentes.
• Endurecimiento de acceso: No exponer interfaces de administración a Internet ni permitir acceso directo sin un control de red o Web Application Firewall (WAF) que pueda filtrar el tráfico malicioso.
• Clientes en la Nube: Si utiliza PAM On Cloud, despliegue las imágenes actualizadas desde el Marketplace de AWS o Azure, según corresponda.