AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Graves vulnerabilidades en N-able permiten ejecución local de código y command injection tras autenticación**

admin

### Introducción

Recientemente se han identificado dos vulnerabilidades críticas en productos de N-able, proveedor de soluciones de gestión y monitorización de infraestructuras TI. Estas fallas de seguridad permiten la ejecución local de código y la inyección de comandos, siendo necesario contar con credenciales válidas para explotarlas. Aunque este requisito reduce el riesgo de explotación masiva inicial, el potencial de impacto en entornos corporativos es elevado, especialmente considerando la naturaleza y alcance de las plataformas afectadas.

### Contexto del Incidente o Vulnerabilidad

N-able, anteriormente conocida como SolarWinds MSP, es ampliamente utilizada por proveedores de servicios gestionados (MSPs) y departamentos internos de TI para automatizar tareas, gestionar endpoints y monitorizar redes. La exposición de vulnerabilidades en estos sistemas supone un riesgo significativo, ya que estos despliegan agentes y tienen privilegios elevados en los activos gestionados. En este caso, las vulnerabilidades afectan a versiones concretas de N-able N-central, una de las plataformas estrella para monitorización y gestión remota.

El descubrimiento de estas fallas ha sido reportado de manera responsable y ya se han liberado actualizaciones de seguridad, pero el retraso en la aplicación de parches o la existencia de credenciales comprometidas amplifica el vector de ataque.

### Detalles Técnicos

Las vulnerabilidades han sido identificadas como CVE-2024-27956 y CVE-2024-27955, ambas clasificadas como críticas por su potencial de permitir a un atacante autenticado ejecutar código arbitrario en el sistema afectado.

– **CVE-2024-27956: Command Injection**
Esta vulnerabilidad reside en el mecanismo de procesamiento de comandos del servidor N-central. El atacante, tras autenticarse, puede manipular los parámetros de entrada en determinados endpoints de la API para inyectar comandos arbitrarios en el sistema operativo subyacente. El exploit aprovecha la falta de validación y saneamiento de entradas, permitiendo la ejecución de comandos con los privilegios del servicio.

– **CVE-2024-27955: Local Code Execution**
Permite a un usuario autenticado cargar y ejecutar archivos binarios arbitrarios en el host donde reside N-central. El atacante podría, por ejemplo, cargar un payload tipo reverse shell o desplegar herramientas post-explotación como Cobalt Strike Beacon, elevando así el compromiso y facilitando movimientos laterales.

Ambas vulnerabilidades requieren autenticación previa (local o remota), lo que las sitúa en una fase intermedia de la cadena de ataque (MITRE ATT&CK T1078: Valid Accounts y T1059: Command and Scripting Interpreter). No obstante, en escenarios donde las credenciales han sido filtradas o existen usuarios internos maliciosos, la explotación es trivial.

**Indicadores de Compromiso (IoC):**
– Solicitudes HTTP POST anómalas a endpoints administrativos.
– Creación de archivos ejecutables no legítimos en directorios del sistema N-central.
– Procesos hijos sospechosos ejecutados por el servicio de N-central.

### Impacto y Riesgos

La explotación exitosa de estas vulnerabilidades puede derivar en la total toma de control del servidor N-central, desde el cual es posible pivotar hacia otros sistemas gestionados. Un atacante podría:
– Desplegar ransomware en la infraestructura monitorizada.
– Realizar movimientos laterales a través de la red interna.
– Exfiltrar información sensible de clientes finales.
– Interrumpir servicios críticos de monitorización y respuesta.

Dado que N-central es utilizado por más de 25.000 MSPs y departamentos TI a nivel global, el alcance potencial es considerable. Según estimaciones del sector, al menos un 15% de las instalaciones podrían estar expuestas si no han aplicado los parches desde su publicación.

### Medidas de Mitigación y Recomendaciones

N-able ha publicado actualizaciones de seguridad para todas las versiones afectadas. Se recomienda:

– **Actualizar inmediatamente a la última versión disponible de N-central.**
– Auditar los registros de acceso y actividad administrativa reciente.
– Cambiar credenciales administrativas y forzar MFA donde sea posible.
– Monitorizar la aparición de archivos o procesos anómalos en los servidores N-central.
– Restringir el acceso a la interfaz administrativa mediante VPN o segmentación de red.
– Aplicar principios de mínimo privilegio en la asignación de roles de usuario y API keys.

La explotación de estas vulnerabilidades no se ha observado aún en frameworks públicos como Metasploit, pero es previsible que aparezcan módulos en los próximos días, dado el valor estratégico del vector.

### Opinión de Expertos

Especialistas en análisis de amenazas y pentesting coinciden en que este tipo de vulnerabilidades ponen de manifiesto la importancia de la seguridad en plataformas de gestión remota: “Si un atacante logra acceso administrativo, el impacto puede ser devastador, especialmente en entornos MSP donde se gestionan múltiples clientes desde un mismo panel”, advierte Juan Martínez, analista SOC en una consultora europea.

Desde la comunidad de Red Team se destaca el riesgo inherente a la reutilización de credenciales y la falta de MFA en muchos despliegues: “La explotación no es compleja si se dispone de acceso, por lo que el enfoque defensivo debe ser doble: hardening y control de accesos”.

### Implicaciones para Empresas y Usuarios

Las organizaciones que delegan su gestión TI en MSPs deben exigir transparencia sobre el estado de actualización de las plataformas N-able. A nivel regulatorio, un incidente derivado de la explotación de estas vulnerabilidades podría conllevar sanciones en el marco del GDPR y, en el sector crítico, bajo la directiva NIS2.

El incidente subraya la necesidad de monitorización continua, respuesta temprana y segmentación de privilegios en infraestructuras de monitorización. Además, los clientes finales deben ser informados sobre las medidas tomadas por sus proveedores para evitar compromisos en cascada.

### Conclusiones

Las vulnerabilidades CVE-2024-27956 y CVE-2024-27955 en N-able N-central constituyen una amenaza crítica para entornos gestionados, especialmente si existen credenciales expuestas o usuarios internos maliciosos. La rápida aplicación de parches, combinado con la mejora en la gestión de accesos y la monitorización activa, son esenciales para mitigar el riesgo. La gestión segura de plataformas RMM debe ser una prioridad estratégica para cualquier organización que dependa de servicios de TI externos.

(Fuente: www.darkreading.com)