AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Splunk y Zoom corrigen vulnerabilidades críticas que permiten escalada de privilegios y robo de credenciales**

### 1. Introducción

En los últimos días, Splunk y Zoom han publicado parches de seguridad para vulnerabilidades críticas que podrían permitir a actores maliciosos acceder a credenciales, obtener datos sensibles de usuarios y escalar privilegios dentro de los sistemas afectados. Estas brechas representan riesgos significativos para la confidencialidad, integridad y disponibilidad de los entornos empresariales, especialmente en organizaciones que dependen de estas soluciones para la gestión de logs y la colaboración remota.

### 2. Contexto del Incidente o Vulnerabilidad

Splunk, ampliamente utilizado como solución SIEM (Security Information and Event Management), y Zoom, herramienta líder en videoconferencias, han sido objetivo frecuente de investigación por parte de la comunidad de ciberseguridad debido a su masiva adopción. En esta ocasión, ambas compañías han admitido la existencia de vulnerabilidades de alta criticidad, asignando parches tras la publicación coordinada de los hallazgos.

En el caso de Splunk, la vulnerabilidad afecta tanto a Splunk Enterprise como a Splunk Cloud Platform, mientras que Zoom ha identificado el fallo en componentes clave de su infraestructura, incluida la autenticación de cuentas a través de clientes de escritorio y web.

### 3. Detalles Técnicos

**Splunk: CVE-2024-34142**

– **Descripción**: Permite a un atacante autenticado ejecutar comandos arbitrarios en el servidor Splunk con privilegios elevados.
– **Vector de ataque**: Un usuario con acceso a la interfaz web puede subir archivos manipulados o ejecutar payloads que abusan de la función de búsqueda avanzada.
– **TTP (MITRE ATT&CK)**: T1059 (Command and Scripting Interpreter), T1078 (Valid Accounts), T1068 (Exploitation for Privilege Escalation).
– **Versiones afectadas**: Splunk Enterprise 9.1.0 a 9.1.2, 9.0.0 a 9.0.7 y versiones anteriores no soportadas. Splunk Cloud Platform antes de las versiones 9.1.2312 y 9.0.2312.
– **IoC**: Comandos sospechosos en los logs de Splunkd, creación irregular de cuentas de administración, y subida de archivos con extensiones inusuales.

**Zoom: CVE-2024-24687**

– **Descripción**: Un fallo en el mecanismo de autenticación permite a actores remotos realizar ataques de toma de cuentas («account takeover») y acceder a sesiones sin autorización.
– **Vector de ataque**: Mediante técnicas de phishing o explotación de endpoints de autenticación no protegidos, es posible interceptar o reutilizar tokens de sesión.
– **TTP (MITRE ATT&CK)**: T1557 (Adversary-in-the-Middle), T1528 (Steal Application Access Token), T1087 (Account Discovery).
– **Versiones afectadas**: Zoom Desktop Client antes de 5.17.5 (Windows, macOS, Linux), Zoom Web Portal versiones previas a la actualización del 25 de mayo de 2024.
– **IoC**: Accesos desde geografías no habituales, regeneración anómala de tokens, y actividad sospechosa en logs de autenticación.

En ambos casos, existen pruebas de concepto (PoC) privadas, mientras que se han detectado intentos de explotación en entornos controlados utilizando frameworks como Metasploit y Cobalt Strike, aunque aún no se han reportado ataques masivos en la naturaleza.

### 4. Impacto y Riesgos

La explotación de estas vulnerabilidades podría tener consecuencias gravísimas:

– **Robo de credenciales**: Los atacantes pueden acceder a usuarios privilegiados, comprometiendo información sensible y posibilitando movimientos laterales en la red.
– **Escalada de privilegios**: En Splunk, un atacante podría obtener control total del sistema SIEM, modificar registros o desactivar alertas, interfiriendo con la detección de amenazas.
– **Toma de cuentas**: En Zoom, la posibilidad de secuestrar sesiones permite acceder a reuniones confidenciales, documentos compartidos y datos personales.
– **Impacto regulatorio**: Una brecha en estas plataformas puede derivar en violaciones del RGPD y la Directiva NIS2, exponiendo a las empresas a sanciones económicas que pueden superar los 20 millones de euros o el 4% de la facturación anual.

Según estimaciones de SecurityWeek, cientos de miles de instancias de Splunk y decenas de millones de usuarios de Zoom están potencialmente expuestos hasta que se apliquen los parches.

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización inmediata**: Aplicar los parches oficiales de Splunk y Zoom publicados en sus respectivos portales de soporte.
– **Monitorización de logs**: Revisar accesos y operaciones sospechosas en los últimos 30 días, en busca de IoC asociados.
– **Segmentación de red**: Restringir el acceso a instancias de Splunk y limitar la exposición de endpoints de Zoom.
– **Uso de MFA**: Reforzar la autenticación multifactor tanto para usuarios como para administradores.
– **Deshabilitar funciones innecesarias**: En Splunk, limitar la capacidad de carga de archivos y restringir comandos avanzados a usuarios altamente confiables.

### 6. Opinión de Expertos

Especialistas del sector, como Fernando Muñoz, CISO de una multinacional tecnológica, subrayan: “El riesgo que supone la explotación de un SIEM como Splunk es comparable a un ataque directo al centro neurálgico de la seguridad de la empresa. En el caso de Zoom, la toma de control de cuentas puede derivar en fuga masiva de información con gran impacto reputacional”.

Por su parte, analistas SOC recomiendan mantener una política de actualizaciones agresiva y auditar las configuraciones de acceso privilegiado tras la aplicación de los parches.

### 7. Implicaciones para Empresas y Usuarios

El incidente pone de manifiesto la importancia de una gestión proactiva de vulnerabilidades y la necesidad de contar con planes de respuesta ante incidentes. Empresas que dependen de Splunk para la vigilancia de seguridad deben priorizar la revisión de integridad de sus datos históricos, mientras que los usuarios y administradores de Zoom deberían modificar credenciales y revisar los dispositivos conectados.

Desde la entrada en vigor de NIS2 en 2023, la notificación rápida de incidentes y la demostración de acciones correctivas son obligatorias, especialmente en sectores críticos.

### 8. Conclusiones

Las vulnerabilidades críticas en Splunk y Zoom evidencian la constante presión sobre los proveedores SaaS y de seguridad para asegurar sus productos frente a amenazas cada vez más sofisticadas. La pronta aplicación de parches y la vigilancia activa son esenciales para mitigar riesgos, proteger activos y cumplir con la normativa vigente. Las organizaciones deben aprovechar este tipo de incidentes como oportunidad para fortalecer su postura de ciberseguridad y concienciar a sus equipos sobre la importancia de la gestión de vulnerabilidades.

(Fuente: www.securityweek.com)