AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Más de 800 servidores N-able N-central siguen vulnerables ante fallos críticos explotados activamente**

admin

### 1. Introducción

Un reciente informe de seguridad ha puesto en evidencia que más de 800 servidores N-able N-central, una solución ampliamente utilizada para la gestión y monitorización remota (RMM) en entornos empresariales, permanecen expuestos a dos vulnerabilidades críticas. Pese a que ambas fallas fueron divulgadas y parcheadas la semana pasada, los sistemas desactualizados siguen siendo objetivo de ataques activos, lo que incrementa el riesgo de intrusiones, robo de información y movimientos laterales en redes corporativas.

### 2. Contexto del Incidente o Vulnerabilidad

N-able N-central es una plataforma RMM empleada por MSPs (proveedores de servicios gestionados) y grandes organizaciones para supervisar infraestructuras TI, desplegar parches y automatizar tareas administrativas. La criticidad de las vulnerabilidades radica en el acceso privilegiado que otorgan las consolas N-central sobre los sistemas gestionados. Tras la publicación de los avisos de seguridad (coincidiendo con la asignación de los CVE correspondientes), diversos actores maliciosos han comenzado a explotar los fallos de forma activa, según han confirmado fuentes del sector y análisis OSINT sobre ataques recientes.

### 3. Detalles Técnicos

Las vulnerabilidades identificadas son las siguientes:

– **CVE-2024-28995**: Falla de directorio transversal que permite a atacantes no autenticados acceder y descargar archivos arbitrarios en servidores N-central expuestos. Este vector puede emplearse para obtener credenciales, archivos de configuración e información sensible.
– **CVE-2024-28996**: Vulnerabilidad de ejecución remota de código (RCE) que, combinada con la anterior, permite a un atacante ejecutar comandos arbitrarios en el sistema afectado.

Ambos fallos afectan a versiones de N-able N-central anteriores a la 2024.2.0.23 y la 2023.4.0.114. Las técnicas de explotación observadas en la naturaleza incluyen la automatización mediante scripts de escaneo masivo (por ejemplo, usando Shodan y Censys para localizar instancias vulnerables en internet) y el despliegue de payloads mediante frameworks como Metasploit y Cobalt Strike.

Según fuentes de BleepingComputer y analistas de amenazas, los TTPs asociados se alinean con las tácticas MITRE ATT&CK T1190 (Exploit Public-Facing Application) y T1059 (Command and Scripting Interpreter). Los indicadores de compromiso (IoC) observados incluyen peticiones HTTP maliciosas con rutas de acceso manipuladas y actividad sospechosa en los logs de la consola N-central.

### 4. Impacto y Riesgos

La superficie de ataque expuesta es crítica: más de 800 servidores N-central accesibles públicamente permanecen sin parchear, según el último rastreo de instancias vulnerables publicado. El compromiso exitoso de una de estas plataformas puede derivar en:

– Acceso total a la infraestructura TI gestionada.
– Robo de credenciales y datos sensibles de clientes.
– Despliegue de ransomware y malware a escala sobre endpoints gestionados.
– Persistencia y movimiento lateral dentro de la red corporativa.

A nivel de cumplimiento normativo, la explotación de estas vulnerabilidades podría suponer una violación grave de la GDPR y la directiva NIS2, exponiendo a las empresas afectadas a sanciones económicas significativas y daños reputacionales.

### 5. Medidas de Mitigación y Recomendaciones

Los equipos de seguridad y los administradores de sistemas deben tomar medidas inmediatas:

– **Actualizar a la última versión** de N-able N-central (2024.2.0.23 o 2023.4.0.114) en todos los servidores desplegados.
– **Auditar el acceso externo**: Limitar la exposición de los paneles de administración a internet, restringiendo el acceso por IP o mediante VPN.
– **Revisar logs de actividad** en busca de patrones anómalos, accesos no autorizados o explotación de directorio transversal.
– Desplegar **EDR y herramientas de monitorización** para detectar posibles movimientos laterales o actividad post-explotación.
– Cambiar todas las credenciales administrativas ante la posibilidad de filtraciones.

N-able ha publicado guías de actualización y mitigación específicas, recomendando también la implementación de autenticación multifactor (MFA) y la revisión periódica de la seguridad de la infraestructura RMM.

### 6. Opinión de Expertos

Profesionales del sector, como los analistas de Rapid7 y consultores de CrowdStrike, han alertado sobre el atractivo de este tipo de plataformas para actores de ransomware y grupos APT, dada su capacidad para escalar privilegios y desplegar ataques masivos. “La gestión remota es uno de los objetivos prioritarios para los atacantes, ya que comprometer estas soluciones permite controlar cientos o miles de endpoints con un solo movimiento”, destaca Miguel Ángel García, CISO en una multinacional tecnológica.

### 7. Implicaciones para Empresas y Usuarios

El elevado porcentaje de servidores sin parchear (más del 10% del total estimado en producción) revela una preocupante falta de agilidad en los procesos de actualización y gestión de vulnerabilidades en muchas organizaciones. Para los MSPs, el impacto potencial puede ser devastador, afectando simultáneamente a múltiples clientes y poniendo en entredicho la confianza en los servicios gestionados.

Las empresas deben reforzar sus políticas de gestión de parches, realizar inventarios exhaustivos de sus plataformas expuestas y establecer canales de comunicación rápidos ante incidentes de seguridad relacionados con sus proveedores RMM.

### 8. Conclusiones

El caso de las vulnerabilidades en N-able N-central es un recordatorio de la importancia crítica de la gestión proactiva de parches y la reducción de la superficie de ataque en infraestructuras clave. La explotación activa de estos fallos pone de manifiesto la velocidad con la que los ciberdelincuentes pueden capitalizar las brechas de seguridad, subrayando la necesidad de una vigilancia continua y una respuesta ágil ante avisos de seguridad. La coordinación entre fabricantes, MSPs y clientes finales será esencial para mitigar riesgos y evitar incidentes de gran impacto en el corto plazo.

(Fuente: www.bleepingcomputer.com)