## Grave vulnerabilidad criptográfica en CentreStack y Triofox permite ataques de acceso remoto
### Introducción
En los últimos días, la comunidad de ciberseguridad ha sido alertada sobre una grave vulnerabilidad en la implementación de algoritmos criptográficos en los productos CentreStack y Triofox, desarrollados por Gladinet. Esta brecha de seguridad, aún sin un CVE asignado oficialmente, está siendo activamente explotada por actores maliciosos para comprometer entornos corporativos que dependen de estas soluciones para acceso remoto seguro y compartición de archivos. El incidente pone de manifiesto la importancia de auditar exhaustivamente los módulos criptográficos en soluciones de acceso remoto, especialmente ante la creciente sofisticación de los ataques dirigidos a infraestructuras críticas.
### Contexto del Incidente o Vulnerabilidad
CentreStack y Triofox son plataformas muy extendidas en entornos empresariales para facilitar el acceso remoto seguro a archivos y la colaboración entre usuarios distribuidos, con una base de clientes que abarca desde pymes hasta grandes corporaciones. Según estimaciones del sector, estas soluciones están presentes en más de 12.000 empresas a nivel mundial, lo que amplifica el potencial de impacto de la vulnerabilidad.
El incidente fue detectado tras el análisis de múltiples compromisos en servidores expuestos a Internet, donde los atacantes lograron eludir los mecanismos de autenticación y cifrado para ejecutar acciones arbitrarias y exfiltrar información sensible. Los primeros indicios sugieren que la vulnerabilidad ha estado siendo explotada de forma selectiva desde, al menos, marzo de 2024, aunque no se descarta una campaña de mayor alcance.
### Detalles Técnicos
La vulnerabilidad reside en una implementación incorrecta de los algoritmos criptográficos empleados en las funciones de autenticación y transmisión segura de archivos en CentreStack (versiones hasta la 14.6.1156.0) y Triofox (versiones hasta la 14.6.1156.0). El fallo no está documentado en bases de datos públicas de vulnerabilidades (sin CVE a la fecha), lo que dificulta su detección por sistemas tradicionales de gestión de parches y escaneo automatizado.
#### Vector de Ataque
El vector principal consiste en la explotación remota a través de la interfaz web de ambos productos, permitiendo a los atacantes eludir la autenticación y obtener acceso no autorizado a archivos y recursos internos. La explotación se basa en el uso de tokens o claves criptográficas predecibles o mal gestionadas, lo que permite la creación o reutilización de sesiones válidas sin credenciales legítimas.
#### TTP (Tácticas, Técnicas y Procedimientos)
Los análisis forenses han mapeado la actividad maliciosa a las siguientes TTP de MITRE ATT&CK:
– **Initial Access (T1190 – Exploit Public-Facing Application):** Explotación de la interfaz web de CentreStack/Triofox.
– **Execution (T1059 – Command and Scripting Interpreter):** Ejecución remota de comandos mediante scripts inyectados.
– **Credential Access (T1552 – Unsecured Credentials):** Extracción de credenciales almacenadas de manera insegura.
– **Exfiltration (T1041 – Exfiltration Over C2 Channel):** Exfiltración de archivos a través de canales cifrados personalizados.
#### Indicadores de Compromiso (IoC)
– Accesos desde direcciones IP anómalas a la API de autenticación.
– Generación de sesiones fuera de horario habitual.
– Solicitudes POST con cabeceras inusuales en los endpoints `/api/token` y `/api/file`.
– Presencia de scripts no firmados en rutas temporales del sistema.
### Impacto y Riesgos
El impacto potencial es crítico, ya que permite a los atacantes:
– Acceso total a archivos y recursos compartidos de la organización.
– Despliegue de malware, ransomware o herramientas de movimiento lateral (Cobalt Strike, Metasploit).
– Compromiso de credenciales y escalada de privilegios.
– Incumplimientos graves de GDPR, NIS2 y otras normativas regulatorias, con posibles multas de hasta el 4% de la facturación anual.
– Interrupción de operaciones y pérdidas económicas que pueden superar los 2,5 millones de euros por incidente en grandes corporaciones.
### Medidas de Mitigación y Recomendaciones
Gladinet ha publicado parches de emergencia para CentreStack y Triofox (versión 14.6.1160.0 y superiores). Se recomienda:
– Actualizar inmediatamente a la última versión disponible.
– Auditar accesos recientes y logs en busca de los IoC indicados.
– Implementar autenticación multifactor (MFA) en todos los accesos remotos.
– Revisar la configuración de cifrado y sustituir todas las claves potencialmente expuestas.
– Monitorizar el tráfico de red en busca de patrones anómalos asociados a exfiltración.
– Realizar un análisis forense si se detectan signos de compromiso.
### Opinión de Expertos
Especialistas de empresas de ciberseguridad coinciden en que “la confianza ciega en las implementaciones criptográficas propietarias, sin auditorías externas, supone un riesgo inaceptable en el contexto actual de amenazas avanzadas”. Además, señalan la importancia de “establecer procesos ágiles de respuesta a incidentes y segmentar las redes para minimizar el impacto de posibles brechas en soluciones de acceso remoto”.
### Implicaciones para Empresas y Usuarios
Las organizaciones que utilicen CentreStack o Triofox deben actuar de inmediato para evitar un compromiso masivo de datos y cumplir con los requisitos de notificación de incidentes establecidos en la GDPR y la directiva NIS2. Los responsables de seguridad (CISOs) deben revisar todas las soluciones de acceso remoto y considerar la auditoría de terceros sobre módulos criptográficos.
Para los usuarios finales, el riesgo reside en la posible exposición de información personal y corporativa, así como en campañas de spear phishing derivadas del robo de información.
### Conclusiones
La explotación de una vulnerabilidad criptográfica no documentada en CentreStack y Triofox subraya la necesidad de revisar continuamente las implementaciones de seguridad en productos de acceso remoto. La adopción temprana de parches, la monitorización activa y la aplicación de buenas prácticas en gestión de credenciales son medidas imprescindibles para mitigar el riesgo ante este tipo de amenazas emergentes.
(Fuente: www.bleepingcomputer.com)