AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**APT chinos comprometen servidores ArcGIS para acceso persistente y sigiloso en redes corporativas**

admin

### 1. Introducción

Un reciente incidente de ciberseguridad ha puesto en el punto de mira el uso malicioso de aplicaciones geoespaciales críticas en entornos corporativos y gubernamentales. Investigadores han identificado que actores de amenazas avanzadas de procedencia china (APT) han logrado comprometer servidores ArcGIS, alterando el software de mapeo geoespacial ampliamente desplegado en infraestructuras estratégicas. El objetivo: establecer una puerta trasera persistente y difícil de detectar, permitiendo el acceso sigiloso a datos sensibles y, potencialmente, a segmentos críticos de las redes afectadas.

### 2. Contexto del Incidente o Vulnerabilidad

ArcGIS, desarrollado por Esri, es una de las plataformas de información geográfica (GIS) más utilizadas a nivel mundial, con una cuota de mercado dominante en sectores como administración pública, utilities, energía, defensa y grandes corporaciones. El incidente fue detectado tras observarse actividad anómala en un servidor ArcGIS expuesto a Internet que, posteriormente, se confirmó había sido manipulado para permitir el acceso remoto encubierto a los atacantes.

Los grupos APT chinos, conocidos por su sofisticación y persistencia, han evolucionado sus técnicas de intrusión, enfocándose en aplicaciones empresariales menos vigiladas pero críticas para la operación de las organizaciones. El interés en ArcGIS responde tanto a la sensibilidad de los datos cartográficos que gestiona como a su frecuente integración con otros sistemas empresariales y SCADA.

### 3. Detalles Técnicos

#### CVE y Versiones Afectadas

La investigación inicial apunta a que la vulnerabilidad explotada está relacionada con una mala configuración de autenticación y la falta de aplicación de parches en ArcGIS Server versiones 10.6.x y 10.7.x, aunque no se descarta afectación en versiones superiores si persisten configuraciones inseguras.

#### Vectores de Ataque

Los atacantes emplearon un ataque de explotación de vulnerabilidad RCE (Remote Code Execution), seguido de la modificación de archivos binarios y scripts de inicio del propio ArcGIS Server. Se identificó el uso de técnicas de Living-off-the-Land (LotL), aprovechando binarios legítimos del sistema operativo Windows para dificultar la detección.

La persistencia se logró mediante la inyección de un módulo DLL malicioso en la cadena de arranque del servicio ArcGIS, permitiendo la ejecución de comandos remotos y exfiltración de información sin levantar alertas en sistemas EDR convencionales.

#### TTP MITRE ATT&CK

– **TA0040 (Impact):** Modificación de aplicaciones legítimas para persistencia.
– **T1055 (Process Injection):** Inyección de código en procesos confiables.
– **T1071 (Application Layer Protocol):** Comunicaciones C2 camufladas en tráfico HTTP/HTTPS estándar de ArcGIS.
– **T1027 (Obfuscated Files or Information):** Uso de empaquetado y ofuscación en payloads DLL.
– **T1190 (Exploit Public-Facing Application):** Explotación de servicios expuestos a Internet.

#### Indicadores de Compromiso (IoC)

– Presencia de DLLs no firmadas en los directorios de ArcGIS Server.
– Conexiones salientes no autorizadas desde el servicio arcgis.exe a dominios con registro en China.
– Modificaciones en archivos de configuración (config-store, server directories).
– Creación de cuentas administrativas locales no documentadas.

#### Herramientas y Frameworks

Se han detectado artefactos compatibles con el uso de Cobalt Strike y China Chopper, junto con scripts personalizados para manipulación de logs y evasión defensiva.

### 4. Impacto y Riesgos

La manipulación de ArcGIS Server otorga a los atacantes acceso privilegiado a mapas, capas de datos y servicios web, lo que puede facilitar:

– Reconocimiento interno de redes y activos críticos.
– Movimiento lateral hacia sistemas ERP, SCADA o bases de datos sensibles.
– Exfiltración de información estratégica (infraestructura crítica, datos geográficos confidenciales).
– Preparación de ataques disruptivos o ransomware en fases posteriores.

Según estimaciones, hasta un 15% de las instalaciones ArcGIS en Europa podrían ser vulnerables si no han aplicado los últimos parches y configuraciones recomendadas. El impacto financiero potencial supera los 50 millones de euros en caso de fuga de datos masiva o interrupciones operativas, con posibles sanciones bajo normativa GDPR y futuras obligaciones de reporte según NIS2.

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización inmediata** a la última versión de ArcGIS Server y aplicación de parches de seguridad recomendados por Esri.
– **Revisión de configuración** de autenticación y segmentación de red, restringiendo el acceso externo a servicios GIS.
– **Monitorización activa** de logs y tráfico de red generado por ArcGIS Server, buscando patrones anómalos y conexiones no autorizadas.
– **Inventario y análisis de integridad** de archivos binarios y DLLs asociados al servicio.
– **Despliegue de honeypots** para detectar intentos de explotación en entornos de pruebas.
– **Formación y concienciación** del personal responsable de sistemas GIS para identificar síntomas de compromiso.

### 6. Opinión de Expertos

Analistas de ciberseguridad del sector consideran que este incidente confirma una tendencia al alza: los APT están diversificando sus vectores de entrada, priorizando aplicaciones empresariales con gran exposición y baja vigilancia específica. “Las plataformas GIS son el nuevo objetivo silencioso, debido a la cantidad de información sensible que gestionan y su integración transversal en la infraestructura TI”, afirma David Fernández, CISO de una utility europea.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben reconsiderar el riesgo asociado a aplicaciones geoespaciales e incluirlas en el perímetro de monitorización avanzada. La integración de ArcGIS con sistemas críticos incrementa el riesgo de movimiento lateral y fuga de información. Asimismo, la exposición pública de servicios GIS debe restringirse al mínimo imprescindible, alineando políticas de gestión de vulnerabilidades con los estándares que exige NIS2.

### 8. Conclusiones

El compromiso de ArcGIS Server por parte de APT chinos subraya la urgencia de reforzar la seguridad en plataformas geoespaciales y aplicaciones empresariales no tradicionales. Las buenas prácticas en gestión de parches, segmentación y monitorización son ahora más críticas que nunca para evitar brechas con consecuencias operativas y regulatorias graves en el contexto europeo.

(Fuente: www.darkreading.com)