AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Ubiquiti corrige dos vulnerabilidades críticas en UniFi Network Application que permitían la toma de cuentas**

admin

### Introducción

Ubiquiti, uno de los principales proveedores de soluciones de red para entornos empresariales y domésticos, ha publicado parches de seguridad para dos vulnerabilidades presentes en la UniFi Network Application. Entre ellas destaca una falla catalogada con la máxima severidad, que podría permitir a un atacante remoto comprometer cuentas de usuario y, en consecuencia, controlar dispositivos y configuraciones críticos dentro de las infraestructuras gestionadas. Este incidente subraya la importancia de mantener actualizados los sistemas de gestión de red, especialmente en entornos donde la seguridad y la disponibilidad son prioritarias.

### Contexto del Incidente

La UniFi Network Application es una plataforma ampliamente utilizada para la gestión centralizada de dispositivos de red Ubiquiti, como puntos de acceso, routers, switches y gateways. Dada su popularidad en sectores empresariales, educativos y organizaciones públicas, las vulnerabilidades dentro de esta solución suponen un riesgo elevado para la seguridad de infraestructuras críticas. El reciente aviso de Ubiquiti, publicado el 18 de junio de 2024, señala que las versiones anteriores a la 8.1.113 se ven afectadas por dos fallos de seguridad, uno de ellos clasificado con una puntuación CVSS de 10.0.

### Detalles Técnicos

La vulnerabilidad más grave, identificada como CVE-2024-3273, es un fallo de severidad crítica (CVSS 10.0) que permite la toma de control de cuentas a través de un ataque de secuestro de sesión (session hijacking) y escalada de privilegios. El fallo reside en la gestión inadecuada de las sesiones de autenticación dentro de la aplicación. Un atacante remoto no autenticado podría aprovecharse de esta debilidad para obtener credenciales válidas o elevar privilegios, accediendo así al panel de administración y a toda la infraestructura gestionada.

La segunda vulnerabilidad, registrada como CVE-2024-3274, es de severidad alta (CVSS 7.5) y permite la ejecución remota de comandos bajo ciertas condiciones específicas, aunque requiere que el atacante posea credenciales válidas de usuario con permisos limitados.

Ambas vulnerabilidades pueden ser explotadas a través de peticiones especialmente diseñadas al interfaz web de la UniFi Network Application. Según los análisis, el principal vector de ataque es el tráfico HTTP(S) dirigido al puerto de administración (por defecto, 8443), lo que expone a organizaciones que mantienen sus controladores accesibles desde Internet.

No se ha publicado aún exploit público funcional en frameworks como Metasploit, pero se ha observado actividad en foros clandestinos y repositorios de PoC (Proof of Concept), lo que incrementa el riesgo de explotación masiva en las próximas semanas.

En términos de MITRE ATT&CK, los TTPs relevantes incluyen:
– **T1078 (Valid Accounts)**
– **T1136 (Create Account)**
– **T1556 (Modify Authentication Process)**
– **T1190 (Exploit Public-Facing Application)**

Indicadores de compromiso (IoC) incluyen el acceso no autorizado al panel de administración, registros de sesión sospechosos y la aparición de cuentas no reconocidas o cambios de configuración inesperados.

### Impacto y Riesgos

El impacto potencial es crítico, especialmente en entornos donde la UniFi Network Application gestiona redes corporativas, acceso WiFi y segmentaciones internas. Un atacante que explote CVE-2024-3273 podría:
– Acceder a la configuración de red, dispositivos y datos de usuarios.
– Modificar reglas de cortafuegos y redirecciones de tráfico.
– Desplegar ataques de red internos (man-in-the-middle, sniffing, etc.).
– Apagar o reiniciar dispositivos, interrumpiendo servicios críticos.

Se estima que más de 1,2 millones de instalaciones activas de UniFi Network Application podrían estar expuestas globalmente, si bien Ubiquiti no ha confirmado incidentes de explotación activa en clientes.

Además, el compromiso de redes gestionadas por UniFi podría suponer infracciones graves de la legislación vigente, como RGPD (Reglamento General de Protección de Datos) y NIS2, especialmente en sectores regulados.

### Medidas de Mitigación y Recomendaciones

Ubiquiti recomienda encarecidamente actualizar a la versión 8.1.113 o superior de UniFi Network Application, disponible desde la consola oficial. Otras prácticas recomendadas incluyen:
– Restringir el acceso al panel de administración únicamente desde redes internas o a través de VPN.
– Monitorizar logs de acceso y alertas de actividad inusual.
– Revisar y auditar cuentas administrativas y cambios recientes en la configuración.
– Implementar autenticación multifactor (MFA) para todos los usuarios privilegiados.
– Segmentar la red para limitar el alcance de un posible compromiso.

### Opinión de Expertos

Especialistas en ciberseguridad consultados destacan la relevancia de este tipo de vulnerabilidades en soluciones de gestión centralizada. “Los controladores de red representan un objetivo prioritario para los atacantes, ya que ofrecen un punto único de control sobre todos los dispositivos conectados”, señala Javier Martínez, analista senior en un SOC de referencia. Asimismo, se advierte sobre la tendencia creciente de ataques dirigidos a infraestructuras IT/OT a través de vulnerabilidades en sistemas de gestión.

### Implicaciones para Empresas y Usuarios

Las organizaciones afectadas deberán revisar sus políticas de actualización y exposición de servicios críticos. La explotación de estas vulnerabilidades puede suponer desde interrupciones del servicio hasta filtraciones de datos personales o corporativos, con consecuencias legales y reputacionales severas. La pronta aplicación de parches y la monitorización proactiva serán claves para mitigar el riesgo.

### Conclusiones

El caso de Ubiquiti pone de relieve la criticidad de mantener actualizadas todas las soluciones de gestión de red y la importancia de restringir el acceso a interfaces administrativas. La explotación de vulnerabilidades como CVE-2024-3273 puede tener un impacto devastador en el funcionamiento y la seguridad de cualquier organización, por lo que se insta a los profesionales del sector a tomar medidas inmediatas y reforzar sus controles preventivos.

(Fuente: www.bleepingcomputer.com)