AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

CISA alerta sobre vulnerabilidades activamente explotadas en Microsoft Office y HPE OneView

admin

Introducción

El 12 de junio de 2024, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha emitido una alerta incorporando dos vulnerabilidades críticas en su catálogo de vulnerabilidades conocidas explotadas (KEV). Las vulnerabilidades afectan a productos ampliamente desplegados en entornos empresariales: Microsoft Office y Hewlett Packard Enterprise (HPE) OneView. La inclusión en el KEV indica evidencia clara de explotación activa por parte de actores maliciosos, lo que exige una respuesta inmediata por parte de los equipos de ciberseguridad.

Contexto del Incidente o Vulnerabilidad

La vulnerabilidad CVE-2009-0556 afecta a Microsoft Office y posee una puntuación CVSS de 8.8, lo que la sitúa en el rango de criticidad alta. A pesar de haber sido identificada inicialmente en 2009, la reciente inclusión en el KEV evidencia que, quince años después, sigue siendo un vector de ataque relevante, sobre todo en infraestructuras que aún mantienen versiones antiguas o no parcheadas de la suite ofimática de Microsoft.

En paralelo, se ha identificado una vulnerabilidad en el software de gestión HPE OneView, una herramienta clave para la administración de infraestructuras convergentes en centros de datos, aunque los detalles específicos de la CVE asociada a este producto no se han hecho públicos en la notificación inicial de CISA.

Detalles Técnicos

CVE-2009-0556 es una vulnerabilidad de inyección de código en Microsoft Office que permite a un atacante ejecutar código arbitrario en el contexto del usuario que abre un documento especialmente manipulado. El vector de ataque suele estar asociado al envío de archivos maliciosos a través de correos electrónicos de phishing o mediante la descarga de documentos desde sitios web comprometidos o controlados por los atacantes.

Según el framework MITRE ATT&CK, la explotación de esta vulnerabilidad se alinea principalmente con la táctica TA0002 (Execution), y la técnica T1204 (User Execution). Los indicadores de compromiso (IoC) asociados suelen incluir hashes de documentos maliciosos, direcciones IP de servidores de comando y control (C2), y patrones de comportamiento en los registros de eventos del sistema y del antivirus corporativo.

En cuanto a HPE OneView, si bien los detalles técnicos específicos aún no se han difundido ampliamente, se sabe que este tipo de plataformas han sido objetivo de ataques dirigidos, donde se explotan vulnerabilidades de autenticación y ejecución remota de código. Herramientas como Metasploit Framework suelen contar con módulos para la explotación de vulnerabilidades conocidas en productos de gestión de infraestructuras, permitiendo a los atacantes obtener acceso persistente y privilegiado en sistemas críticos.

Impacto y Riesgos

El impacto potencial de la explotación de CVE-2009-0556 en Microsoft Office es significativo, especialmente en organizaciones que aún utilizan versiones no soportadas o no actualizadas del software. La ejecución de código arbitrario puede facilitar el despliegue de ransomware, el robo de credenciales, el movimiento lateral y la exfiltración de datos sensibles.

En el caso de HPE OneView, la explotación de vulnerabilidades puede comprometer la administración de infraestructuras de servidores, almacenamiento y redes, permitiendo a los atacantes modificar configuraciones, desplegar cargas maliciosas o incluso deshabilitar sistemas críticos.

La explotación activa de estas vulnerabilidades puede derivar en incidentes de seguridad con consecuencias económicas severas, violaciones de la normativa GDPR y NIS2, y daños reputacionales considerables. Según datos recientes de IBM y Ponemon Institute, el coste medio de una brecha de datos en 2023 ascendió a 4,45 millones de dólares, una cifra que sigue en aumento.

Medidas de Mitigación y Recomendaciones

CISA ha instado a todas las organizaciones, especialmente a las entidades federales y operadoras de infraestructuras críticas, a aplicar los parches de seguridad disponibles de manera inmediata. Para Microsoft Office, se recomienda actualizar a las versiones más recientes y deshabilitar la ejecución automática de macros y contenidos activos en documentos sospechosos. Se aconseja también la utilización de soluciones EDR y la monitorización continua de IoC asociados.

Respecto a HPE OneView, se recomienda revisar la configuración de acceso, restringir el acceso administrativo a redes internas seguras, y aplicar los parches de seguridad proporcionados por el fabricante. Es fundamental auditar los logs de acceso y monitorizar patrones anómalos que puedan indicar explotación activa.

Opinión de Expertos

Especialistas de ciberseguridad como Kevin Beaumont y Jake Williams han subrayado la importancia de mantener una política estricta de gestión de vulnerabilidades, particularmente en productos legacy y soluciones de gestión de infraestructuras. Ambos coinciden en que la explotación de vulnerabilidades antiguas evidencia una brecha en la higiene de seguridad y en la gestión de activos tecnológicos.

Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de seguridad, este incidente refuerza la necesidad de un inventario exhaustivo de activos, una política de parches proactiva y la implementación de controles compensatorios. Los usuarios finales deben estar formados en la detección de correos de phishing y buenas prácticas en la apertura de documentos adjuntos. La exposición a ataques dirigidos (APT) y campañas de malware como Emotet o TrickBot sigue siendo alta en escenarios donde persisten vulnerabilidades conocidas.

Conclusiones

La inclusión de CVE-2009-0556 y la vulnerabilidad de HPE OneView en el catálogo KEV de CISA es una llamada de atención para el sector. Las vulnerabilidades conocidas y antiguas siguen siendo explotadas activamente por grupos de amenazas, lo que subraya la importancia de una gestión de parches robusta, la monitorización de IoC y la concienciación de usuarios y administradores. La proactividad y la respuesta ágil ante alertas de organismos como la CISA son claves para reducir la superficie de ataque y proteger los activos críticos de las organizaciones.

(Fuente: feeds.feedburner.com)