AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### CISA advierte sobre explotación activa de vulnerabilidades críticas en AMI MegaRAC, D-Link DIR-859 y Fortinet FortiOS

admin

#### Introducción

El 12 de junio de 2024, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) actualizó su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) para incluir tres nuevas amenazas críticas. Estas afectan a productos ampliamente utilizados en entornos empresariales: AMI MegaRAC, el router D-Link DIR-859 y Fortinet FortiOS. La inclusión se fundamenta en la evidencia confirmada de explotación activa, lo que incrementa el nivel de alerta para administradores de sistemas, analistas de SOC, CISOs y equipos de respuesta ante incidentes.

#### Contexto del Incidente o Vulnerabilidad

El catálogo KEV de CISA identifica vulnerabilidades con explotación activa en el mundo real, obligando a las agencias federales estadounidenses y recomendando a organizaciones privadas acelerar las acciones de mitigación. Las fallas añadidas afectan a componentes de gestión remota de servidores (AMI MegaRAC), routers domésticos y de pequeñas oficinas (D-Link DIR-859), y a plataformas de seguridad perimetral ampliamente desplegadas (Fortinet FortiOS). La diversidad de los productos impactados destaca la amplitud del vector de ataque y la importancia de la gestión de parches y la segmentación adecuada de redes.

#### Detalles Técnicos

**CVE-2024-54085 (CVSS 10.0) – AMI MegaRAC**
Esta vulnerabilidad permite la elusión de autenticación mediante suplantación (authentication bypass by spoofing). El fallo reside en el stack de gestión remota de MegaRAC, presente en múltiples controladoras de servidores de centros de datos. La explotación permite a un atacante remoto acceder a las interfaces de gestión BMC (Baseboard Management Controller) sin credenciales válidas.
– **Vectores de ataque**: Acceso remoto a través de la red de gestión, suplantación de cabeceras o tokens de autenticación.
– **TTP MITRE ATT&CK**: T1078 (Valid Accounts), T1110 (Brute Force), T1021.002 (Remote Services: SMB/Windows Admin Shares).
– **Indicadores de Compromiso (IoC)**: Logs de acceso a BMC desde IPs anómalas, actividad fuera de horario, y cuentas de usuario inesperadas.

**D-Link DIR-859**
Aunque el identificador CVE específico no ha sido mencionado en el extracto, se ha confirmado que la vulnerabilidad permite a atacantes eludir mecanismos de autenticación para obtener control administrativo del router.
– **Vectores de ataque**: Ataques remotos mediante inyección de comandos en la interfaz web.
– **Frameworks utilizados**: Metasploit ha incluido módulos de explotación para dispositivos D-Link afectados.
– **IoC**: Cambios no autorizados en la configuración, tráfico inusual en puertos de administración y reinicios inesperados.

**Fortinet FortiOS**
El fallo divulgado permite la ejecución remota de código (RCE) o la evasión del control de acceso en appliances Fortigate, potencialmente mediante exploits públicos alojados en repositorios de threat intelligence.
– **Versiones afectadas**: FortiOS anteriores a la 7.2.8 y 7.4.3, según los avisos de seguridad de Fortinet.
– **TTP MITRE ATT&CK**: T1190 (Exploit Public-Facing Application), T1210 (Exploitation of Remote Services).
– **IoC**: Creación de sesiones de administración fuera de lo habitual, tráfico hacia C2s conocidos, y ejecución de procesos no legítimos.

#### Impacto y Riesgos

La criticidad de estas vulnerabilidades es máxima, como refleja el puntaje CVSS de 10.0 para el caso de AMI MegaRAC. Los riesgos incluyen:
– **Acceso y control total** de infraestructuras críticas (servidores, firewalls, routers).
– **Persistencia** y movimiento lateral en redes corporativas.
– **Filtración de datos** confidenciales.
– **Despliegue de ransomware** o malware persistente.
– **Impacto en cumplimiento legal**: Violaciones potenciales de GDPR y NIS2 por exposición de datos y fallos en el deber de diligencia de protección.

Según CISA, la explotación activa plantea un alto riesgo para infraestructuras críticas y empresas del sector privado, especialmente aquellas con grandes despliegues de hardware afectado.

#### Medidas de Mitigación y Recomendaciones

– **Parcheo inmediato** de las versiones afectadas. AMI, D-Link y Fortinet han publicado actualizaciones y mitigaciones temporales.
– **Restricción de acceso**: Limitar el acceso a interfaces de administración a redes internas o VPN.
– **Monitorización reforzada**: Implementar alertas sobre accesos anómalos y cambios de configuración.
– **Segmentación de red**: Aislar sistemas de gestión remota y dispositivos de red críticos.
– **Aplicación de políticas de hardening**: Deshabilitar servicios innecesarios, cambiar credenciales por defecto y aplicar MFA donde sea posible.
– **Revisión de logs e IoC**: Analizar registros en busca de indicios de explotación.

#### Opinión de Expertos

Especialistas en ciberseguridad, como los investigadores de Rapid7 y SANS Institute, subrayan que “la explotación de interfaces de gestión remota representa una de las amenazas más subestimadas en entornos corporativos”. Destacan la tendencia creciente de los atacantes a focalizarse en dispositivos de red y sistemas de gestión con parches rezagados, empleando herramientas como Cobalt Strike y exploits personalizados que escapan a las protecciones tradicionales.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar su inventario de hardware y priorizar la actualización de los equipos afectados. El coste de una brecha derivada de estas vulnerabilidades puede superar los 500.000 euros en términos de respuesta, remediación y sanciones regulatorias, según estimaciones del mercado. Además, la NIS2 refuerza la obligación de notificación y la gestión de riesgos en toda la cadena de suministro, lo que implica una vigilancia extendida sobre integradores y proveedores externos.

#### Conclusiones

La rápida inclusión de estas vulnerabilidades en el catálogo KEV de CISA subraya la urgencia de la respuesta. La gestión proactiva de parches, la segmentación de red y la monitorización avanzada son líneas defensivas imprescindibles frente a la sofisticación y velocidad de explotación de amenazas actuales. La colaboración entre equipos de seguridad, proveedores y organismos reguladores será clave para reducir la superficie de ataque y proteger los activos críticos.

(Fuente: feeds.feedburner.com)