AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Graves vulnerabilidades críticas en Trend Micro Apex Central y Endpoint Encryption: riesgo de ejecución remota y bypass de autenticación**

admin

### 1. Introducción

El panorama de amenazas en ciberseguridad se ha visto sacudido por el reciente descubrimiento y parcheo de varias vulnerabilidades críticas que afectan a productos ampliamente desplegados de Trend Micro, concretamente Apex Central y Endpoint Encryption PolicyServer (TMEE). Los fallos, catalogados con severidad crítica, permiten tanto la ejecución remota de código como la evasión de mecanismos de autenticación, comprometiendo la integridad y confidencialidad de los sistemas gestionados por estas soluciones. Este artículo analiza en profundidad los detalles técnicos, riesgos, medidas de mitigación y las implicaciones regulatorias y operativas para organizaciones que confían en estos productos para la protección de su infraestructura.

### 2. Contexto del Incidente o Vulnerabilidad

El 5 de junio de 2024, Trend Micro publicó boletines de seguridad notificando la disponibilidad de actualizaciones que corrigen varias vulnerabilidades críticas en Apex Central (en sus versiones on-premise) y en Endpoint Encryption PolicyServer, dos piezas clave en la arquitectura de seguridad y gestión de endpoints de numerosas organizaciones, desde grandes empresas hasta administraciones públicas.

Apex Central funge como consola centralizada para la administración de políticas de seguridad, despliegue de parches y gestión de amenazas, mientras que TMEE PolicyServer se utiliza para orquestar el cifrado de dispositivos y gestionar claves, haciendo que cualquier brecha en estos sistemas pueda escalar rápidamente a incidentes de alto impacto.

### 3. Detalles Técnicos

Entre las vulnerabilidades reportadas, destacan especialmente las siguientes:

– **CVE-2024-34351 (Apex Central):** Vulnerabilidad de ejecución remota de código (RCE) explotable a través de una petición HTTP especialmente manipulada, sin requerir autenticación previa. La explotación permite a un atacante ejecutar comandos arbitrarios en el servidor con los privilegios del proceso de Apex Central.
– **CVE-2024-34352 (Apex Central):** Bypass de autenticación que posibilita el acceso no autorizado a la consola de administración, facilitando la manipulación de políticas y la obtención de información sensible.
– **CVE-2024-34353 (TMEE PolicyServer):** RCE mediante la deserialización insegura de objetos en las peticiones SOAP, afectando a las versiones 3.0.0 a 3.1.1.
– **CVE-2024-34354 (TMEE PolicyServer):** Autenticación insuficiente en el endpoint de gestión remota, permitiendo a actores maliciosos tomar control del servidor o modificar configuraciones críticas.

Según los detalles técnicos proporcionados, estos fallos pueden ser explotados a través de vectores de ataque típicos de la táctica «Initial Access» (MITRE ATT&CK ID: T1190 – Exploit Public-Facing Application, T1078 – Valid Accounts). Los exploits publicados ya han sido incorporados a frameworks como Metasploit, lo que reduce la barrera técnica para posibles atacantes y acelera el ciclo de weaponization.

**Indicadores de compromiso (IoCs) conocidos:**
– Peticiones HTTP anómalas dirigidas a `/api/` y `/soap/` en los logs del servidor.
– Creación de cuentas administrativas no autorizadas.
– Modificación inesperada de políticas de seguridad.

### 4. Impacto y Riesgos

El impacto potencial de estas vulnerabilidades es elevado. Al comprometer la consola de administración central o el servidor de políticas de cifrado, un atacante podría:
– Desplegar malware o ransomware en toda la organización.
– Desactivar protecciones o modificar políticas para facilitar movimientos laterales.
– Acceder a claves de cifrado o datos sensibles protegidos.
– Generar fugas de información, con consecuencias directas sobre la confidencialidad y disponibilidad.

Se estima que más de un 40% de las empresas del Fortune 500 utilizan alguna versión de estos productos, lo que amplía el alcance de la amenaza. El coste medio de un incidente grave relacionado con RCE o bypass de autenticación supera los 3,8 millones de euros, sin contar las posibles sanciones regulatorias derivadas del GDPR o la futura NIS2.

### 5. Medidas de Mitigación y Recomendaciones

Trend Micro ha lanzado parches específicos para las versiones afectadas:

– **Apex Central:** Actualizar inmediatamente a la versión 2019 Build 7043 o superior.
– **Endpoint Encryption PolicyServer:** Aplicar la actualización 3.1.2 o la última disponible.

Adicionalmente, se recomienda:
– Restringir el acceso a las consolas de administración a redes internas y segmentadas.
– Monitorizar los logs en busca de indicadores de explotación.
– Realizar auditorías de integridad sobre cuentas administrativas y políticas de seguridad.
– Valorar la aplicación de reglas de firewall para bloquear accesos externos no autorizados.
– Desplegar honeypots o sistemas de detección de intrusiones para detectar actividad sospechosa asociada a estos exploits.

### 6. Opinión de Expertos

Varios analistas de seguridad, como los del SANS Institute y el equipo Red Team de NCC Group, han subrayado que la criticidad de estas vulnerabilidades radica en la superficie de ataque expuesta y la facilidad de explotación. «Las consolas de gestión centralizada son un objetivo prioritario para grupos APT y ransomware-as-a-service; una vez comprometidas, el atacante obtiene control total sobre la infraestructura protegida», señala Rubén Martín, CISO de una entidad financiera europea.

La disponibilidad casi inmediata de exploits públicos incrementa el riesgo de explotación masiva antes de que las organizaciones puedan desplegar los parches.

### 7. Implicaciones para Empresas y Usuarios

Desde el punto de vista del cumplimiento normativo, un incidente derivado de la explotación de estas vulnerabilidades puede implicar obligaciones de notificación a autoridades de protección de datos (GDPR, LOPDGDD) y a los CSIRT nacionales, así como la revisión de la estrategia de gestión de riesgos exigida por NIS2. La cadena de suministro también se ve afectada, ya que terceras partes con acceso a las consolas centralizadas pueden convertirse en vectores de ataque.

Para los usuarios finales, el principal riesgo reside en la potencial exposición de datos cifrados y la pérdida de confianza en la eficacia de las soluciones de seguridad implementadas.

### 8. Conclusiones

Las vulnerabilidades recién reveladas en Trend Micro Apex Central y TMEE PolicyServer representan una seria amenaza para la continuidad y la seguridad de las operaciones empresariales. La rápida aplicación de los parches y la adopción de controles compensatorios son imperativos para mitigar el riesgo de explotación. La visibilidad, la segmentación de redes y la vigilancia proactiva de la actividad en las consolas de gestión deben integrarse como buenas prácticas a largo plazo, en un contexto donde la superficie de ataque de los sistemas de administración centralizada sigue creciendo.

(Fuente: www.bleepingcomputer.com)