Mantener los equipos, dispositivos y aplicativos actualizados es un paso esencial para la seguridad dentro de una organización. Las actualizaciones bien ejecutadas y aplicadas permiten beneficiarse rápidamente de las nuevas funciones y ayudan a mantener la seguridad de la información frente a los ciberataques que pueden darse si se explotaran las vulnerabilidades.
El conocimiento del pasado no se trata solo de historia, también es una herramienta que puede ser usada para la defensiva. Cuando una organización carece de políticas y herramientas que puedan mitigar el impacto de un ciberataque, pierde la oportunidad de fortalecer sus defensas, identificar sus puntos ciegos y anticiparse a riesgos futuros.
A continuación, mencionaremos las 5 vulnerabilidades más severas reportadas y actualizadas en 2024, que fueron aprovechadas por los ciberdelincuentes.
CVE-2023-32117
Esta vulnerabilidad, identificada como crítica (CVSS versión 3, de 9.8) se detectó dentro del plugin de Google Drive para WordPress, una herramienta muy solicitada por bloggers y administradores de sitios web, ya que simplifica eficazmente el proceso de almacenamiento e incorporación de archivos, carpetas y documentos directamente en páginas o publicaciones. Es particularmente útil para aquellos que regularmente comparten archivos online, con una interfaz fácil de usar.
A pesar de tener más de dos años desde que fue publicada y actualizada el pasado mes de diciembre del 2024, sigue siendo explotada por los ciberdelincuentes. Fue designada como CVE-2023-32117 y
En general, la vulnerabilidad proviene de un bloque de código no identificado en el componente REST API Endpoint. El problema es que el software no realiza una verificación de autorización, lo que significa que los ciberdelincuentes podrían acceder a recursos y realizar acciones no autorizadas sin el conocimiento de los usuarios. Esta vulnerabilidad expone al software a una posible explotación y ataque, lo que podría causar preocupaciones significativas a los usuarios.
Si se explota esta vulnerabilidad, los atacantes podían acceder a información sensible, afectar la confidencialidad, integridad y disponibilidad de activos digitales, e infligir daños significativos que podrían conducir a reparaciones costosas y prolongadas.
CVE-2024-55877
XWiki Platform es una plataforma wiki genérica. A partir de la versión 9.7-rc-1, y antes de las versiones 15.10.11, 16.4.1 y 16.5.0, cualquier usuario con una cuenta puede ejecutar código remoto arbitrario añadiendo instancias de `XWiki.WikiMacroClass´ a cualquier página. Esto compromete la confidencialidad, integridad y disponibilidad de toda la instalación de XWiki.
Esta vulnerabilidad ha sido corregida en XWiki 15.10.11, 16.4.1 y 16.5.0. Es posible aplicar manualmente el parche a la página `XWiki.XWikiSyntaxMacrosList` como workaround y es una vulnerabilidad clasificada como crítica conforme a su CVSS (versión 3) con una puntuación de 9.9.
Productos y versiones vulnerables
| Producto | Desde | Hasta |
| 2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 9.7 (incluyendo) | 15.10.11 (excluyendo) |
| 2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 16.0.0 (incluyendo) | 16.4.1 (excluyendo) |
| 2.3:a:xwiki:xwiki:16.5.0:rc1:*:*:*:*:*:* |
CVE-2024-42448
Le permite a un atacante ejecutar código remoto en el servidor VSPC, siempre y cuando tenga autorización en la máquina de agente de gestión VSPC. Si se explota, puede tener consecuencias importantes para la seguridad, incluido el acceso no autorizado y filtraciones de datos. El atacante puede potencialmente instalar malware, obtener privilegios elevados o modificar la configuración del servidor. Por eso es importante que las organizaciones que utilizan el software VSPC apliquen parches y políticas de control de acceso sólidas para mitigar el impacto de esta vulnerabilidad con un CVSS (versión 3) de 9.9.
Recursos Afectados
- Veeam Service Provider Console, versión 8.1.0.21377 y anteriores;
- Veeam Backup & Replication, versiones 12, 12.1 y 12.2;
- Veeam Agent for Microsoft Windows, versiones 6.0, 6.1 y 6.2.
CVE-2024-45387
Es una vulnerabilidad crítica (CVSS versión 3, de 9.9) de inyección SQL en el componente de Operaciones de Tráfico de Apache. Esta falla permite a los usuarios privilegiados ejecutar consultas arbitrarias de SQL, lo que podría conducir a acceso no autorizado, manipulación de datos y compromiso del sistema.
Los ciberdelincuentes siguen discutiendo activamente y compartiendo hazañas para esta vulnerabilidad en foros de la darkweb desde que fue publicada el pasado 23 de abril del 2024 y actualizada el 11 de febrero de este año, provocando un aumento en el riesgo para las organizaciones que utilizan las versiones afectadas. Para mitigar esta vulnerabilidad, es esencial que las organizaciones actualicen a la versión 8.0.2 o posterior, aplique una validación adecuada de las entradas y adopten medidas inmediatas para proteger sus redes y datos de la explotación potencial.
CVE-2024-12356
La explotación exitosa de esta vulnerabilidad puede permitir que un atacante remoto y no autenticado ejecute comandos del sistema operativo subyacente en el contexto del usuario del sitio, vinculada a los productos de acceso remoto privatizado (PRA) y Remote Support (RS) de la empresa BeyondTrust.
Productos y versiones vulnerables
| Producto | Desde | Hasta |
| 2.3:a:beyondtrust:privileged_remote_access:*:*:*:*:*:*:*:* | 24.3.1 (incluyendo) | |
| 2.3:a:beyondtrust:remote_support:*:*:*:*:*:*:*:* | 24.3.1 (incluyendo) |
BeyondTrust es una empresa de ciberseguridad especializada en Administración de Acceso Privileged (PAM) y soluciones seguras de acceso remoto. Sus productos son utilizados por agencias gubernamentales, firmas tecnológicas, entidades de comercio minorista y comercio electrónico, organizaciones de salud, proveedores de servicios de energía y servicios públicos, y el sector bancario.
En un informe realizado por Censys se observaron 8.602 instancias de los productos de BeyondTrust de los cuales 72% están localizados en Estados Unidos, sin embargo, también mencionan que no todos los casos vistos son vulnerables, debido a que no disponen de las versiones específicas disponibles.
Conclusiones
Como se puede leer, las vulnerabilidades de esta naturaleza a menudo atraen la atención de los ciberdelincuentes que buscan explotarlas con fines maliciosos. Los ciberataques rara vez ocurren sin advertencia. En la mayoría de los casos, ya existen antecedentes que pudieron servir de alerta: vulnerabilidades conocidas, patrones de ataque similares o incidentes previos dentro de la misma organización o en el mismo sector. Por ello, cada brecha, cada ataque, cada error humano, cada vulnerabilidad reportada es una lección valiosa, el olvidarlas, o peor aún, ignorarlas, es dejar la puerta abierta al mismo ataque, una y otra vez.
