AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

CISA alerta sobre tres vulnerabilidades críticas en SharePoint explotadas activamente

Introducción

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) ha emitido una alerta urgente dirigida a responsables de seguridad y administradores de sistemas sobre la explotación activa de tres vulnerabilidades en Microsoft SharePoint. Dos de estas vulnerabilidades han sido objeto de ataques zero-day, lo que incrementa significativamente el nivel de riesgo para organizaciones que aún no han aplicado los parches de seguridad pertinentes. En un contexto de creciente sofisticación de las amenazas, esta situación requiere una respuesta inmediata y coordinada por parte de los equipos de ciberseguridad.

Contexto del Incidente o Vulnerabilidad

SharePoint, la plataforma de colaboración empresarial de Microsoft, se ha convertido en un vector recurrente para ataques dirigidos debido a su amplia adopción global en entornos corporativos y gubernamentales. Los fallos recientemente identificados afectan a versiones ampliamente desplegadas y permiten a los atacantes eludir controles de acceso o ejecutar código arbitrario en los servidores vulnerables.

La explotación activa de estas vulnerabilidades ha sido confirmada tanto en incidentes observados por analistas SOC como en informes de inteligencia de amenazas. CISA ha incorporado rápidamente los CVEs implicados a su catálogo de vulnerabilidades explotadas, lo que refuerza la gravedad del asunto y la necesidad de acciones inmediatas.

Detalles Técnicos

Las vulnerabilidades identificadas son las siguientes:

– CVE-2023-29357: Elevación de privilegios en Microsoft SharePoint Server. Permite a un atacante autenticado elevar privilegios y potencialmente tomar control total del servidor afectado. Se ha observado su explotación como zero-day antes de la publicación oficial de un parche.
– CVE-2023-24955: Ejecución remota de código (RCE) en SharePoint Server. Mediante la explotación de esta vulnerabilidad, un atacante puede ejecutar código arbitrario bajo el contexto de la aplicación de SharePoint. También ha sido explotada como zero-day.
– CVE-2023-28250: Otra vulnerabilidad de RCE, aunque con menor criticidad que las anteriores, pero igualmente relevante en campañas activas de explotación.

Los vectores de ataque identificados incluyen el envío de peticiones HTTP especialmente diseñadas a los endpoints de SharePoint, el abuso de privilegios mínimos y la explotación de configuraciones inseguras. Asimismo, se han observado TTP alineadas con técnicas MITRE ATT&CK tales como “Exploitation for Privilege Escalation (T1068)” y “Remote System Discovery (T1018)”.

Indicadores de compromiso (IoC) compartidos por CISA incluyen direcciones IP asociadas a infraestructura maliciosa, hashes de archivos utilizados en las campañas y patrones específicos en logs de acceso. Frameworks como Metasploit y Cobalt Strike han incorporado módulos para la explotación automatizada de estos fallos, facilitando la labor de actores maliciosos y aumentando el riesgo de ataques masivos.

Impacto y Riesgos

El impacto potencial de la explotación de estas vulnerabilidades es elevado. Un atacante con éxito puede obtener acceso privilegiado a la red corporativa, desplegar malware adicional, realizar movimientos laterales y exfiltrar información confidencial. Desde una perspectiva de cumplimiento, los incidentes derivados pueden acarrear consecuencias legales significativas bajo normativas como el GDPR y la directiva NIS2, especialmente si resultan en filtraciones de datos personales o disruptivas para servicios esenciales.

Según estimaciones de la industria, más del 60% de las organizaciones del Fortune 500 utilizan alguna versión de SharePoint. En términos económicos, el coste medio de un incidente de seguridad relacionado con vulnerabilidades no parcheadas puede superar los 4 millones de dólares, considerando interrupciones en la operativa y posibles sanciones regulatorias.

Medidas de Mitigación y Recomendaciones

CISA insta a la aplicación inmediata de los parches de seguridad proporcionados por Microsoft para todas las versiones afectadas de SharePoint Server (2016, 2019 y SharePoint Server Subscription Edition). Se recomienda, además:

– Revisar los logs de acceso en busca de actividades anómalas asociadas a los IoCs publicados.
– Reforzar la segmentación de red y limitar el acceso a los servidores SharePoint a través de políticas de firewall.
– Implementar autenticación multifactor (MFA) y revisar los privilegios otorgados a usuarios y aplicaciones.
– Monitorizar el tráfico de red en busca de exfiltración de datos o comunicación con C2 conocidos.

Opinión de Expertos

Expertos en ciberseguridad como Jake Williams (SANS Institute) y Daniel Card (PenTest Partners) han remarcado la especial peligrosidad de las vulnerabilidades zero-day en plataformas tan extendidas como SharePoint. “La disponibilidad de exploits en frameworks públicos reduce la ventana de reacción. Las organizaciones deben asumir que ya están bajo ataque si no han parcheado”, señala Williams.

Implicaciones para Empresas y Usuarios

Para los responsables de seguridad, este incidente subraya la importancia de contar con procesos sólidos de gestión de vulnerabilidades y respuesta ante incidentes. La explotación activa implica que los atacantes priorizan estos vectores y que los sistemas expuestos pueden ser comprometidos en cuestión de horas tras la publicación del exploit. Los usuarios finales pueden verse afectados indirectamente por la interrupción de servicios o la exposición de sus datos personales.

Conclusiones

La explotación activa de vulnerabilidades críticas en SharePoint demuestra la necesidad de mantener una postura de ciberseguridad proactiva, basada en el parcheo inmediato, la monitorización continua y la concienciación sobre amenazas emergentes. La coordinación entre equipos técnicos y de cumplimiento es esencial para minimizar el impacto y cumplir con las obligaciones legales derivadas de incidentes de seguridad.

(Fuente: www.securityweek.com)