AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Críticas vulnerabilidades en Splunk AI Toolkit y Atlassian exponen riesgos por ejecución remota y dependencias inseguras**

admin

### Introducción

En las últimas horas, dos actores clave en el ecosistema de desarrollo y operaciones empresariales, Splunk y Atlassian, han publicado actualizaciones urgentes para corregir vulnerabilidades críticas que afectan directamente a la integridad y la seguridad de infraestructuras corporativas y sistemas DevOps. Mientras Splunk ha abordado una grave inyección de comandos en su AI Toolkit, Atlassian ha corregido decenas de vulnerabilidades derivadas de dependencias de terceros en varios de sus productos, subrayando una vez más la importancia de la cadena de suministro de software y la gestión proactiva de vulnerabilidades en componentes externos.

### Contexto del Incidente o Vulnerabilidad

El auge de herramientas basadas en inteligencia artificial y la integración continua ha incrementado la superficie de ataque de aplicaciones críticas. Splunk, ampliamente adoptado para la gestión de datos de seguridad y operativos, y Atlassian, referente en soluciones colaborativas y de automatización, han sido objeto de escrutinio por parte de la comunidad de seguridad tras descubrirse graves fallos explotables en entornos tanto locales como en la nube.

En el caso de Splunk, el AI Toolkit —un conjunto de herramientas para potenciar capacidades analíticas mediante IA— presentaba una vulnerabilidad de inyección de comandos del sistema operativo. Atlassian, por su parte, se ha enfrentado a la difícil tarea de mitigar un cúmulo de vulnerabilidades provocadas por la inclusión de librerías de terceros vulnerables en productos como Jira, Confluence y Bitbucket.

### Detalles Técnicos

#### Splunk AI Toolkit: Inyección de comandos OS (CVE-2024-36900)

La vulnerabilidad identificada en el AI Toolkit de Splunk ha sido registrada como **CVE-2024-36900** y recibe una puntuación CVSS de 9.8 (crítica). El fallo reside en la insuficiente validación de los parámetros de entrada en ciertas funciones de procesamiento de datos, lo que permite a un atacante autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente.

**Vectores de ataque**
– Ataque local o remoto mediante el envío de cargas especialmente manipuladas a través de la API o la interfaz web del AI Toolkit.
– Aprovechamiento de sesiones autenticadas con permisos elevados.
– Ejecución de comandos con los privilegios del servicio Splunk, permitiendo escalada de privilegios y movimiento lateral.

**TTPs MITRE ATT&CK relevantes**
– T1059 (Command and Scripting Interpreter)
– T1210 (Exploitation of Remote Services)
– T1078 (Valid Accounts)

**Indicadores de compromiso (IoC)**
– Comandos sospechosos ejecutados desde procesos hijos de Splunkd.
– Eventos inusuales en los logs de AI Toolkit relacionados con parsing de parámetros.

#### Atlassian: Vulnerabilidades en dependencias de terceros

Atlassian ha solucionado más de 30 vulnerabilidades originadas por dependencias de terceros en actualizaciones recientes para Jira, Confluence, Bitbucket, Bamboo y Crowd. Entre las CVEs más relevantes se encuentran:

– **CVE-2024-22257** (Spring Framework Remote Code Execution)
– **CVE-2023-44487** (HTTP/2 Rapid Reset DoS)
– **CVE-2023-4863** (Libwebp Buffer Overflow)

La mayoría de estos fallos permiten ataques de denegación de servicio, escalado de privilegios o ejecución remota de código, en función del contexto de explotación y el producto afectado.

### Impacto y Riesgos

La explotación de la vulnerabilidad en Splunk permite a actores maliciosos tomar control del servidor, acceder a datos sensibles e incluso pivotar hacia otros activos críticos de la red. En organizaciones que dependen de Splunk para la monitorización de eventos de seguridad (SIEM), el compromiso puede tener un efecto cascada, ocultando la actividad del atacante.

En el caso de Atlassian, los riesgos están relacionados con la ejecución remota de código, exposición de información, interrupción de servicios y la posibilidad de que amenazas avanzadas exploten vulnerabilidades de la cadena de suministro, un vector especialmente relevante tras incidentes como el de SolarWinds.

Según datos del sector, más del 80% de los ciberataques en 2023 involucraron algún tipo de vulnerabilidad en dependencias de terceros, y se estima que el coste promedio de una brecha por este vector supera el millón de euros, especialmente en sectores regulados bajo GDPR o la nueva directiva NIS2.

### Medidas de Mitigación y Recomendaciones

– **Actualización inmediata:** Se insta a aplicar sin demora las versiones corregidas de Splunk AI Toolkit (v5.1.1) y las últimas releases de productos Atlassian.
– **Revisión de logs:** Analizar registros en busca de patrones anómalos asociados a los IoC descritos.
– **Hardening de cuentas:** Restringir permisos y auditar cuentas con acceso a Splunk y Atlassian.
– **Gestión de dependencias:** Adoptar herramientas SCA (Software Composition Analysis) para detectar y remediar vulnerabilidades en librerías de terceros.
– **Monitorización continua:** Implementar controles de seguridad y monitorización avanzada para detectar explotación de CVEs recientes.

### Opinión de Expertos

Especialistas en ciberseguridad como Fernando Hernández, CISO de una multinacional tecnológica, destacan: “La frecuencia con la que surgen vulnerabilidades en dependencias demuestra que la seguridad del software no termina en el código propio. La monitorización y actualización proactiva son fundamentales, especialmente ante la inminente entrada en vigor de la directiva NIS2, que endurecerá los requisitos de gestión de riesgos”.

### Implicaciones para Empresas y Usuarios

Las organizaciones que utilicen Splunk o soluciones Atlassian deben considerar estos incidentes como un recordatorio de la criticidad de la gestión integral del ciclo de vida del software. Además del riesgo reputacional y financiero, la exposición a sanciones por incumplimiento normativo (GDPR, NIS2) es significativa. Los equipos SOC, pentesters y administradores deben reforzar la vigilancia y priorizar la actualización y segmentación de sistemas críticos.

### Conclusiones

La rápida respuesta de Splunk y Atlassian evidencia la madurez de sus procesos de gestión de vulnerabilidades, pero también revela la presión constante que afrontan las organizaciones ante amenazas que evolucionan al ritmo del desarrollo tecnológico. Los profesionales del sector deben mantener una postura proactiva, combinando actualización continua, automatización y análisis avanzado de amenazas para proteger la cadena de suministro y los activos críticos de información.

(Fuente: www.securityweek.com)