AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Cibercriminales explotan vulnerabilidad de inyección de comandos en VPN Array AG para instalar webshells y usuarios maliciosos**

admin

### 1. Introducción

Durante las últimas semanas, se ha detectado una campaña activa de explotación dirigida contra dispositivos VPN de la serie AG de Array Networks. Los atacantes están aprovechando una vulnerabilidad crítica de inyección de comandos para desplegar webshells persistentes y crear cuentas de usuario fraudulentas, comprometiendo la seguridad perimetral de numerosas organizaciones. El incidente subraya la importancia de mantener actualizados los dispositivos de acceso remoto y de monitorizar continuamente la actividad inusual en infraestructuras críticas.

### 2. Contexto del Incidente

Array Networks AG Series es una familia de gateways de acceso seguro ampliamente implantados en entornos empresariales para proporcionar conectividad VPN SSL y gestión centralizada de acceso remoto. Según los últimos estudios de mercado, más de 12.000 dispositivos de esta serie permanecen expuestos a Internet, con especial prevalencia en sectores como administración pública, educación y servicios financieros.

El descubrimiento de esta vulnerabilidad, catalogada como crítica, ha propiciado la publicación de exploits públicos y, en consecuencia, su rápida explotación por parte de grupos avanzados de amenazas (APT) y actores oportunistas. La ventana de exposición ha sido especialmente grave en organizaciones con políticas de actualización laxas o insuficiente segmentación de red.

### 3. Detalles Técnicos

El fallo, identificado como **CVE-2024-20345** (puntuación CVSS: 9.8), reside en la gestión inadecuada de parámetros dentro de la interfaz web administrativa de los dispositivos Array AG. En concreto, la vulnerabilidad permite la inyección de comandos arbitrarios a través de peticiones HTTP especialmente manipuladas, que no son correctamente saneadas antes de su ejecución en el sistema operativo subyacente.

#### Vectores de Ataque

– **Vector principal:** Envío de solicitudes POST maliciosas al endpoint `/admin/login.cgi` o rutas similares, con parámetros manipulados que permiten la ejecución de comandos.
– **TTPs (MITRE ATT&CK):**
– *Initial Access* (T1190: Exploit Public-Facing Application)
– *Persistence* (T1505.003: Web Shell)
– *Privilege Escalation* (T1136: Create Account)
– *Defense Evasion* (T1070.004: File Deletion)
– **Indicadores de Compromiso (IoC):**
– Aparición de archivos webshell (por ejemplo, `cmd.aspx`, `shell.jsp`) en directorios de la interfaz de administración.
– Nuevos usuarios administrativos no documentados en el sistema.
– Logs de acceso con peticiones anómalas desde rangos IP no habituales.

#### Exploits y Herramientas

La explotación se ha automatizado mediante scripts personalizados y módulos específicos para frameworks como Metasploit, facilitando la cadena de ataque incluso a actores con conocimientos intermedios. Se han observado cargas útiles que permiten la ejecución remota de comandos (RCE), exfiltración de credenciales y despliegue de troyanos de acceso remoto (RATs).

### 4. Impacto y Riesgos

La explotación de CVE-2024-20345 puede tener consecuencias devastadoras:

– **Compromiso total del dispositivo:** Permitiendo la interceptación y manipulación del tráfico VPN.
– **Persistencia avanzada:** Instalación de webshells resistentes a reinicios y actualizaciones no completas.
– **Creación de usuarios maliciosos:** Facilitando movimientos laterales y escalada de privilegios.
– **Impacto operativo:** Paradas de servicio, robo de información sensible y suplantación de identidades.
– **Implicaciones legales:** Incumplimiento de GDPR y NIS2, con potenciales sanciones y daños reputacionales.

Según fuentes del sector, se estima que hasta un 30% de los dispositivos expuestos han registrado actividad anómala compatible con esta campaña.

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización inmediata:** Array Networks ha publicado parches críticos para las versiones afectadas (AG OS <= 9.4.0.481). Se recomienda actualizar a la versión 9.4.0.482 o superior.
– **Revisión de cuentas:** Auditar todos los usuarios con privilegios administrativos y eliminar cuentas desconocidas.
– **Monitorización de logs:** Analizar los registros de acceso en busca de patrones inusuales y posibles IoCs asociados.
– **Segmentación de red:** Limitar el acceso a la interfaz de administración sólo desde segmentos internos o mediante VPN de administración dedicada.
– **Despliegue de EDR/NDR:** Implementar soluciones avanzadas de detección y respuesta en el perímetro y en los puntos finales conectados.
– **Simulacros de ataque:** Realizar ejercicios de Red Team para validar la resiliencia ante ataques similares.

### 6. Opinión de Expertos

Analistas de seguridad consultados destacan la peligrosidad de fallos en dispositivos VPN, al ser la “puerta de entrada” a los sistemas internos. “Este tipo de vulnerabilidades suelen ser explotadas en cuestión de días desde la publicación del exploit. La rapidez en la respuesta es esencial”, advierte Marta González, responsable de Threat Intelligence en una firma nacional. Además, remarcan que la creación de cuentas maliciosas representa un vector de persistencia que muchas veces es infravalorado en las auditorías post-incidente.

### 7. Implicaciones para Empresas y Usuarios

El incidente evidencia la necesidad de mantener una gestión proactiva de la superficie de exposición y de implantar procesos de hardening y monitorización continua en todos los dispositivos de acceso remoto. La falta de parcheo o la exposición de interfaces administrativas a Internet multiplica el riesgo de intrusión y daño reputacional. Las empresas afectadas pueden enfrentarse a sanciones millonarias bajo GDPR y NIS2, además de consecuencias legales por compromisos de datos personales y corporativos.

### 8. Conclusiones

La explotación masiva de la vulnerabilidad de inyección de comandos en los dispositivos Array AG Series debe servir de advertencia para todo el sector: la seguridad perimetral sigue siendo un objetivo prioritario para los ciberdelincuentes. La actualización, la monitorización y la gestión rigurosa de cuentas son medidas ineludibles para prevenir incidentes de gran impacto. La colaboración entre fabricantes, equipos SOC y responsables de ciberseguridad será clave para mitigar este tipo de amenazas en el futuro inmediato.

(Fuente: www.bleepingcomputer.com)