Tres vulnerabilidades críticas bajo explotación activa incluidas en el catálogo KEV de CISA

Introducción

El panorama de amenazas cibernéticas continúa evolucionando, con ataques cada vez más sofisticados que aprovechan vulnerabilidades conocidas en infraestructuras críticas y entornos empresariales. El pasado lunes, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) actualizó su catálogo de Vulnerabilidades Explotadas Conocidas (KEV, por sus siglas en inglés) para incluir tres fallos de seguridad con evidencia de explotación activa. Entre ellas destaca la CVE-2021-22054, una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) que afecta a Omnissa Workspace One UEM (anteriormente conocido como VMware Workspace One UEM).

Contexto del Incidente o Vulnerabilidad

El catálogo KEV de CISA busca alertar a organismos públicos y privados sobre vulnerabilidades que están siendo utilizadas activamente por actores maliciosos. La inclusión de nuevas entradas implica que existen pruebas contundentes de explotación en el mundo real. Workspace One UEM es una plataforma ampliamente utilizada para la gestión unificada de dispositivos (UEM) en empresas, lo que la convierte en un objetivo atractivo para atacantes que buscan acceso a datos sensibles, control de dispositivos o incluso pivotar hacia otros sistemas internos.

Detalles Técnicos

La vulnerabilidad CVE-2021-22054 afecta a versiones de Workspace One UEM previas a la 2109.2 y se ha catalogado con un CVSS de 7.5, lo que la sitúa como de gravedad alta. Este fallo reside en el manejo inadecuado de las peticiones HTTP realizadas por el servidor, permitiendo que un atacante autenticado pueda inducir al servidor a realizar peticiones arbitrarias a recursos internos o externos.

Vector de ataque:

– Tipo: Server-Side Request Forgery (SSRF)
– Requiere autenticación previa, pero puede ser explotado por usuarios con privilegios bajos.
– Permite acceder a recursos protegidos, saltando controles de red tradicionales (firewalls, listas de control de acceso).
– Puede ser utilizada como punto de partida para la exfiltración de datos, escalada lateral, mapeo de la infraestructura interna o incluso explotación de otras vulnerabilidades.

TTP MITRE ATT&CK:

– Initial Access: Valid Accounts (T1078)
– Discovery: Network Service Scanning (T1046), Remote System Discovery (T1018)
– Lateral Movement: Internal Spearphishing (T1534)
– Command and Control: Application Layer Protocol (T1071)

Indicadores de Compromiso (IoC):

– Peticiones HTTP/S anómalas originadas desde el servidor UEM hacia dominios o IPs no habituales.
– Cambios en logs de acceso y autenticación, especialmente desde cuentas con permisos limitados.
– Actividad de red saliente no justificada hacia recursos internos.

Impacto y Riesgos

El impacto potencial de la explotación de esta vulnerabilidad es significativo. El acceso a recursos internos puede facilitar la obtención de credenciales, información de red, configuraciones sensibles o datos personales protegidos bajo regulaciones como el GDPR. Adicionalmente, este tipo de ataque puede actuar como vector para comprometer sistemas adyacentes, instalar malware (como Cobalt Strike o Meterpreter de Metasploit), o incluso establecer canales persistentes de Command & Control.

Según estimaciones del sector, plataformas de UEM como Workspace One gestionan dispositivos en más del 30% de grandes corporaciones globales, lo que amplifica el alcance y la criticidad de la vulnerabilidad.

Medidas de Mitigación y Recomendaciones

La principal recomendación es actualizar inmediatamente Workspace One UEM a la versión 2109.2 o superior, donde el fabricante ha corregido el fallo. Otras medidas incluyen:

– Revisar logs y registros de red en busca de actividad sospechosa relacionada con SSRF.
– Limitar el acceso a la interfaz de administración UEM solo a redes internas de confianza.
– Implementar controles de segmentación de red y monitorización de tráfico saliente, para detectar e impedir posibles exfiltraciones.
– Revisar configuraciones de autenticación y aplicar el principio de mínimo privilegio a todas las cuentas.
– Implementar mecanismos de detección y respuesta ante amenazas (EDR/NDR) que permitan identificar patrones de comportamiento anómalos asociados a TTPs MITRE mencionados.

Opinión de Expertos

Analistas de amenazas y pentesters coinciden en que los SSRF representan uno de los vectores de ataque más subestimados, especialmente en entornos cloud y soluciones de gestión centralizada. Según un informe reciente de Verizon, más del 60% de los incidentes de acceso no autorizado en 2023 involucraron la explotación de vulnerabilidades conocidas para las que existían parches disponibles. “El tiempo medio entre la publicación de un exploit y su uso masivo se ha reducido a menos de 10 días”, advierte un CISO de una multinacional bancaria.

Implicaciones para Empresas y Usuarios

Las empresas que utilicen Workspace One UEM deben considerar la explotación de esta vulnerabilidad como una amenaza inminente. El incumplimiento de las obligaciones de actualización y monitoreo podría derivar en sanciones regulatorias, especialmente bajo el marco del GDPR y la inminente directiva europea NIS2, que exige la notificación de incidentes graves en un plazo máximo de 24 horas.

Por su parte, los administradores de sistemas y responsables de seguridad deben reforzar la supervisión sobre los sistemas UEM y coordinar acciones de respuesta rápida ante la detección de actividad sospechosa.

Conclusiones

La inclusión de la CVE-2021-22054 en el catálogo KEV subraya la urgencia de mantener una gestión proactiva de vulnerabilidades y una política de actualizaciones constante. En un entorno donde la explotación activa de fallos críticos es cuestión de días, la colaboración entre fabricantes, equipos de seguridad y organismos reguladores resulta esencial para contener el riesgo y prevenir brechas de seguridad de gran impacto.

(Fuente: feeds.feedburner.com)