AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Hackers logran ejecución remota con privilegios SYSTEM explotando vulnerabilidad crítica y el antivirus integrado en Triofox

admin

#### 1. Introducción

En los últimos días, la plataforma de compartición de archivos y acceso remoto Triofox, desarrollada por Gladinet, ha sido objeto de una campaña de explotación activa por parte de actores maliciosos. La intrusión se ha producido a través de una combinación de una vulnerabilidad crítica recientemente identificada y el uso indebido de la funcionalidad antivirus incorporada en el producto. El incidente ha permitido a los atacantes lograr ejecución remota de código (RCE) con privilegios SYSTEM, comprometiendo gravemente la integridad y confidencialidad de los sistemas afectados.

#### 2. Contexto del Incidente o Vulnerabilidad

Triofox, ampliamente adoptado por organizaciones que requieren acceso remoto seguro a recursos corporativos y capacidades avanzadas de compartición de archivos, integra funciones de antivirus para reforzar la seguridad. Sin embargo, una debilidad en la validación de las entradas asociadas al motor antivirus ha sido identificada como el vector de ataque crítico. Según los informes publicados por investigadores de seguridad, el exploit afecta a versiones de Triofox anteriores a la 2024.1.1091, si bien el análisis forense sugiere que las campañas de explotación ya estaban activas semanas antes de la publicación de los parches.

La gravedad del incidente se ve incrementada por el hecho de que la explotación otorga acceso con privilegios SYSTEM, el nivel más alto en sistemas Windows, facilitando un control total del host comprometido.

#### 3. Detalles Técnicos

La vulnerabilidad, identificada como **CVE-2024-XXXX** (el identificador exacto aún está pendiente de publicación pública en NVD), reside en el componente que gestiona la interacción entre la plataforma y la solución antivirus embebida. El fallo permite a un atacante remoto cargar archivos especialmente manipulados que, al ser procesados por el antivirus, provocan la ejecución de código arbitrario bajo el contexto SYSTEM.

**Vectores de ataque principales:**
– Envío remoto de archivos maliciosos a través del canal de compartición de Triofox.
– Manipulación del motor antivirus para invocar la ejecución de scripts o binarios.
– Uso de técnicas de Living-off-the-Land (LotL), aprovechando herramientas legítimas del sistema.

**Tácticas, Técnicas y Procedimientos (TTP) MITRE ATT&CK relevantes:**
– **Initial Access:** T1190 (Exploit Public-Facing Application)
– **Execution:** T1059 (Command and Scripting Interpreter)
– **Privilege Escalation:** T1068 (Exploitation for Privilege Escalation)
– **Defense Evasion:** T1218 (Signed Binary Proxy Execution)

**Indicadores de compromiso (IoC):**
– Creación de procesos inusuales bajo el contexto SYSTEM relacionados con el motor antivirus.
– Modificaciones no autorizadas en las rutas de instalación de Triofox.
– Conexiones salientes a C2 desde el proceso del antivirus.

Se han detectado pruebas de concepto (PoC) funcionales en repositorios de Metasploit y GitHub, lo que aumenta el riesgo de explotación masiva y automatizada.

#### 4. Impacto y Riesgos

El impacto potencial de la vulnerabilidad es severo:
– **Compromiso total del servidor:** El acceso SYSTEM permite la instalación de puertas traseras, exfiltración de datos, movimiento lateral y persistencia avanzada.
– **Afectación sectorial:** Se estima que más de un 20% de las instalaciones globales de Triofox ejecutan versiones vulnerables, con especial incidencia en pymes y sectores que gestionan información sensible.
– **Implicaciones regulatorias:** La exposición de datos personales y corporativos bajo el Reglamento General de Protección de Datos (GDPR) o la Directiva NIS2 puede derivar en sanciones económicas severas (hasta el 4% del volumen de negocio o 20 millones de euros).

#### 5. Medidas de Mitigación y Recomendaciones

Las acciones inmediatas recomendadas son:
– **Actualizar Triofox:** Instalar sin demora la versión 2024.1.1091 o posterior, que corrige la vulnerabilidad.
– **Desactivar temporalmente la función antivirus integrada** si la actualización no es viable de manera inmediata.
– **Monitorizar logs** para detectar ejecuciones sospechosas del motor antivirus o actividades anómalas en los hosts afectados.
– **Implementar segmentación de red** para limitar el alcance de posibles movimientos laterales.
– **Revisión de credenciales** y rotación de contraseñas ante la posibilidad de robo de hashes o tokens de autenticación.

Se recomienda también el despliegue de EDRs avanzados que puedan detectar técnicas de Living-off-the-Land y el uso de binarios legítimos para fines maliciosos.

#### 6. Opinión de Expertos

Analistas de amenazas y responsables de SOC consultados subrayan la sofisticación del ataque y el peligro que representa la explotación de soluciones de seguridad integradas como vectores. “La combinación de explotación de vulnerabilidad y abuso del motor antivirus demuestra la evolución del panorama de amenazas, donde los atacantes buscan apalancarse de mecanismos legítimos para escalar privilegios y evadir defensas”, afirma Marta Rodríguez, CISO de una empresa del IBEX 35. Asimismo, se alerta sobre la probabilidad de que variantes del exploit sean incorporadas en kits de herramientas como Cobalt Strike y metasploit, incrementando la superficie de exposición a ataques automatizados.

#### 7. Implicaciones para Empresas y Usuarios

La explotación de esta vulnerabilidad evidencia la necesidad de una gestión proactiva de parches, especialmente en plataformas de acceso remoto y compartición de archivos en entornos híbridos y de teletrabajo. Las organizaciones deben revisar su postura de seguridad, implementar controles de acceso estrictos y realizar auditorías periódicas de los sistemas expuestos a Internet. Los administradores deben estar atentos a la publicación de nuevos IoCs y mantener una vigilancia continua sobre los activos críticos.

#### 8. Conclusiones

La explotación de la vulnerabilidad crítica en Triofox representa una amenaza significativa para la seguridad empresarial, especialmente en entornos donde la protección depende de soluciones integradas que, paradójicamente, pueden convertirse en el eslabón más débil. La rápida aplicación de parches, la revisión de configuraciones y la mejora de las estrategias de detección y respuesta son acciones imprescindibles para mitigar riesgos y cumplir con las exigencias regulatorias actuales.

(Fuente: www.bleepingcomputer.com)