AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Agencias gubernamentales de EE.UU. en alerta por explotación activa de vulnerabilidad crítica en Oracle Identity Manager

admin

Introducción

El panorama de amenazas dirigido a infraestructuras críticas y sistemas gubernamentales continúa intensificándose. La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU. (CISA) ha emitido una alerta urgente dirigida a organizaciones del sector público tras detectarse la explotación activa de una vulnerabilidad crítica en Oracle Identity Manager (OIM), identificada como CVE-2024-61757. Este fallo, que afecta a versiones ampliamente desplegadas en entornos corporativos y gubernamentales, ha sido aprovechado en ataques recientes, posiblemente como un zero-day, poniendo en jaque la seguridad de sistemas de gestión de identidad y acceso (IAM).

Contexto del Incidente o Vulnerabilidad

Oracle Identity Manager es una pieza central en la arquitectura de control de acceso de numerosas organizaciones. Su función es administrar el ciclo de vida de identidades digitales y los permisos asociados, siendo fundamental para la autenticación, autorización y cumplimiento normativo (como el GDPR o la NIS2). La vulnerabilidad CVE-2024-61757 fue reportada inicialmente por investigadores de seguridad tras observarse explotación activa en entornos gubernamentales de EE.UU., llevando a CISA a incluirla en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). La explotación se produjo antes de que se publicara el parche oficial, lo que sugiere su aprovechamiento como zero-day por parte de actores avanzados.

Detalles Técnicos

CVE-2024-61757 es una vulnerabilidad de severidad crítica (CVSS 9.8) que afecta a Oracle Identity Manager versiones 12.2.1.3 y anteriores. El fallo reside en la gestión inadecuada de peticiones HTTP/HTTPS, permitiendo a un atacante remoto no autenticado ejecutar código arbitrario en el servidor afectado a través de la manipulación de parámetros específicos en las peticiones de autenticación.

Vectores de ataque e IoC:
– Acceso remoto no autenticado (vector de red).
– Manipulación de parámetros en endpoints de autenticación y autorización.
– Uso de payloads personalizados detectados en logs de OIM y proxies inversos.
– Indicadores de compromiso (IoC): patrones anómalos en los registros de acceso, creación de cuentas privilegiadas no autorizadas, ejecución de código fuera del horario habitual y conexiones salientes hacia servidores C2 conocidos (relacionados con infraestructuras de Cobalt Strike y Metasploit).

TTP según MITRE ATT&CK:
– Initial Access (T1190: Exploit Public-Facing Application)
– Privilege Escalation (T1068: Exploitation for Privilege Escalation)
– Persistence (T1136: Create Account)
– Command and Control (T1071: Application Layer Protocol)

Exploit conocido:
Se han detectado scripts públicos adaptados para Metasploit, así como módulos personalizados utilizados en ataques dirigidos, que aprovechan el fallo para desplegar webshells y cargar agentes de Cobalt Strike.

Impacto y Riesgos

El impacto potencial es severo, ya que la explotación permite la ejecución de código arbitrario con privilegios elevados sobre sistemas de gestión de identidad. Esto otorga a los atacantes la capacidad de comprometer la cadena de autenticación corporativa, escalar privilegios, robar credenciales y pivotar lateralmente hacia otros sistemas críticos. Según estimaciones de CISA, más del 60% de las agencias federales utilizan versiones afectadas de OIM, lo que multiplica el riesgo de brechas masivas, robo de información sensible, interrupciones de servicios y sanciones regulatorias por incumplimiento de GDPR o NIS2.

El coste promedio de una brecha asociada a sistemas IAM supera los 4,5 millones de dólares, sumándose potenciales multas de hasta el 4% de la facturación global bajo el marco GDPR.

Medidas de Mitigación y Recomendaciones

CISA insta a todas las organizaciones afectadas a aplicar de inmediato el parche de Oracle correspondiente a CVE-2024-61757 (Oracle Critical Patch Update de junio 2024).
Acciones adicionales recomendadas:

– Revisión forense de logs de acceso y autenticación en OIM y sistemas adyacentes.
– Monitorización de tráfico saliente sospechoso y correlación con IoCs publicados por CISA y Oracle.
– Revisión y rotación urgente de credenciales y claves asociadas a cuentas privilegiadas.
– Restricción de acceso externo a servicios de OIM mediante firewall y segmentación de red.
– Despliegue temporal de reglas WAF para bloquear patrones de explotación conocidos.

Opinión de Expertos

Especialistas en ciberseguridad como Kevin Beaumont y analistas del SANS Institute advierten que la explotación de OIM compromete el núcleo de la gestión de acceso en cualquier organización. “Un fallo de esta magnitud, combinado con la explotación como zero-day, ofrece a los atacantes una puerta trasera privilegiada a infraestructuras críticas”, señala Beaumont. El consenso profesional apunta a la importancia de auditar exhaustivamente los sistemas IAM tras la aplicación de los parches, ante la posibilidad de persistencia post-explotación.

Implicaciones para Empresas y Usuarios

Las organizaciones que dependen de Oracle Identity Manager deben considerar la actualización como prioritaria y revisar sus estrategias de defensa en profundidad. La explotación de vulnerabilidades en sistemas IAM puede derivar en ataques de ransomware, robo de propiedad intelectual y daño reputacional irreversible. Para los responsables de seguridad (CISOs), administradores y analistas SOC, este incidente subraya la necesidad de un inventario actualizado de activos, monitorización proactiva de amenazas y respuesta ágil ante alertas de explotación activa.

Conclusiones

La vulnerabilidad CVE-2024-61757 en Oracle Identity Manager representa un riesgo crítico para la seguridad de las organizaciones públicas y privadas. La explotación activa como zero-day y la relevancia del componente afectado exigen una respuesta inmediata y coordinada, tanto a nivel técnico como organizativo. La correcta gestión de parches, la monitorización continua y la colaboración con agencias regulatorias son claves para mitigar el impacto de este tipo de amenazas en el actual contexto de ciberseguridad.

(Fuente: www.bleepingcomputer.com)