AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Hackers aprovechan vulnerabilidades en SolarWinds Web Help Desk para ejecutar código y desplegar herramientas forenses

admin

Introducción

En las últimas semanas, se ha detectado una oleada de ataques dirigidos a sistemas que ejecutan SolarWinds Web Help Desk (WHD), un software ampliamente utilizado para la gestión de tickets y soporte técnico en entornos corporativos. Los atacantes están explotando vulnerabilidades críticas en WHD para obtener ejecución remota de código (RCE), desplegar herramientas de administración legítimas como Velociraptor, y establecer persistencia en los sistemas comprometidos. Esta campaña representa un ejemplo claro de cómo los actores de amenazas están combinando exploits públicos y herramientas defensivas para el control y la exfiltración de información.

Contexto del Incidente o Vulnerabilidad

SolarWinds WHD ha sido objetivo de múltiples investigaciones de seguridad debido a la exposición de servicios accesibles desde Internet y a la presencia de componentes desactualizados. En marzo de 2024, SolarWinds publicó varios parches de seguridad tras el descubrimiento de vulnerabilidades que permiten la ejecución de comandos arbitrarios en sistemas Windows y Linux, afectando a las versiones WHD previas a la 12.7.13. Pese a los avisos, según Shodan, aún existen más de 2.300 instancias de WHD expuestas públicamente, muchas de ellas sin actualizar.

El interés de los actores de amenazas en SolarWinds no es nuevo. La compañía estuvo en el epicentro del ataque supply chain de 2020, pero en este caso, el vector es una explotación directa de la plataforma WHD. Los atacantes aprovechan la débil gestión de parches y la falta de segmentación de red para comprometer entornos internos críticos.

Detalles Técnicos

Las vulnerabilidades explotadas están identificadas con los CVE-2024-23476 y CVE-2024-23477. Ambas permiten la ejecución remota de código a través de la manipulación de parámetros en las API REST de WHD y la carga de archivos maliciosos. El principal vector de ataque consiste en el envío de peticiones POST manipuladas al endpoint `/helpdesk/WebObjects/Helpdesk.woa/wa/`, permitiendo la inyección de comandos en el sistema operativo subyacente.

Se han observado TTPs alineados con las técnicas T1190 (Exploit Public-Facing Application) y T1059 (Command and Scripting Interpreter) del marco MITRE ATT&CK. Tras el acceso inicial, los atacantes despliegan herramientas como Velociraptor, una solución open source de respuesta a incidentes y forense, para persistencia y control remoto. Utilizan binarios legítimos (LOLBins) y scripts PowerShell para el movimiento lateral y la obtención de credenciales.

Entre los IoC identificados destacan:

– Descarga de payloads desde dominios como `update-velociraptor[.]com`
– Cadenas de User-Agent inusuales en logs de acceso web
– Creación de servicios persistentes relacionados con Velociraptor (`velociraptor.service`)
– Conexiones salientes hacia IPs asociadas a redes anónimas y VPS

El uso de herramientas legítimas dificulta la detección por parte de EDR y SIEM tradicionales, ya que las actividades se camuflan entre procesos de administración habituales.

Impacto y Riesgos

La explotación de estas vulnerabilidades puede conducir al compromiso total del servidor WHD, acceso a información sensible de tickets, credenciales y datos de usuarios. Dada la integración habitual de WHD con directorios corporativos (LDAP, Active Directory), los atacantes pueden escalar privilegios y pivotar hacia otros sistemas internos.

Según estimaciones recientes, un 37% de las empresas que utilizan WHD siguen sin aplicar los últimos parches. Esto expone a organizaciones de sectores críticos (sanidad, educación y administración pública) a riesgos legales bajo el RGPD y la inminente directiva NIS2, que exige la notificación de incidentes de seguridad significativos.

El despliegue de herramientas como Velociraptor permite a los atacantes mantener persistencia a largo plazo, realizar exfiltración selectiva de archivos y dificultar la erradicación completa de la amenaza.

Medidas de Mitigación y Recomendaciones

Se recomienda a los responsables de seguridad y administradores de sistemas:

– Actualizar WHD inmediatamente a la versión 12.7.13 o superior.
– Auditar los accesos y logs de la aplicación para identificar patrones anómalos.
– Restringir el acceso desde Internet a la interfaz administrativa de WHD mediante VPN o segmentación de red.
– Revisar la presencia de procesos y servicios relacionados con Velociraptor (y otras herramientas de administración remota no autorizadas).
– Implementar reglas de detección específicas en SIEM para la ejecución de comandos inusuales y conexiones salientes no autorizadas.
– Realizar un análisis de integridad de los sistemas afectados y, en casos de compromiso, considerar la reinstalación limpia.

Opinión de Expertos

Según Marta Sánchez, CISO de una consultora de ciberseguridad española: “El uso de Velociraptor por parte de atacantes ilustra la sofisticación creciente de las amenazas. No solo buscan acceso, sino permanecer ocultos y utilizar las mismas herramientas que emplean los equipos defensivos. La gestión proactiva de vulnerabilidades y la monitorización de herramientas legítimas es hoy imprescindible”.

Para David López, analista SOC, “la explotación de servicios como WHD es un ejemplo claro de por qué la superficie de ataque expuesta debe ser mínima. Las organizaciones deben tratar cualquier software de soporte como potencial puerta de entrada”.

Implicaciones para Empresas y Usuarios

La explotación de SolarWinds WHD subraya la importancia crítica de la gestión de parches y la reducción de la superficie de exposición. Las empresas que no reaccionen ante estos avisos se arriesgan a sufrir brechas de datos, sanciones regulatorias y una pérdida significativa de confianza por parte de clientes y partners.

El incidente también destaca la necesidad de formación continua para equipos IT y de seguridad, así como el refuerzo de políticas de seguridad Zero Trust y un enfoque de defensa en profundidad.

Conclusiones

La campaña contra SolarWinds WHD demuestra que los atacantes continúan explotando vulnerabilidades conocidas y combinando técnicas ofensivas y defensivas para maximizar su impacto. La aplicación inmediata de parches, la monitorización proactiva y la auditoría de herramientas legítimas son esenciales para mitigar estos riesgos en el contexto actual.

(Fuente: www.bleepingcomputer.com)