La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha incluido recientemente una vulnerabilidad de alta gravedad que afecta a Microsoft SharePoint en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Esta inclusión se debe a la evidencia de explotación activa, lo que subraya la importancia de abordar este problema de seguridad de manera urgente. La vulnerabilidad en cuestión se ha catalogado como CVE-2024-38094 y ha sido calificada con una puntuación de 7.2 en la escala CVSS, lo que indica su alta gravedad.
¿Qué es la Vulnerabilidad CVE-2024-38094?
CVE-2024-38094 se describe como una vulnerabilidad de deserialización que afecta a Microsoft SharePoint. Según un comunicado de Microsoft, un atacante que cuente con permisos de propietario del sitio puede utilizar esta vulnerabilidad para inyectar código arbitrario y ejecutarlo en el contexto del servidor de SharePoint. Este tipo de fallo puede tener consecuencias graves, ya que permite a los atacantes comprometer la integridad y confidencialidad de los datos gestionados por SharePoint.
Microsoft ha lanzado parches para corregir esta vulnerabilidad como parte de sus actualizaciones de seguridad de Patch Tuesday en julio de 2024. Sin embargo, el riesgo de explotación se ve agravado por la disponibilidad de pruebas de concepto (PoC) en el dominio público. Estas PoC permiten a los atacantes automatizar la autenticación en un sitio de SharePoint objetivo mediante NTLM, crear carpetas y archivos específicos, y enviar cargas útiles XML diseñadas para desencadenar la vulnerabilidad en la API del cliente de SharePoint.
Amenazas en el Entorno Actual
Aunque actualmente no hay informes de explotación activa de CVE-2024-38094 en la naturaleza, el entorno de amenazas cibernéticas sigue evolucionando. Las agencias del Poder Ejecutivo Civil Federal (FCEB) han sido instadas a aplicar las últimas correcciones antes del 12 de noviembre de 2024 para proteger sus redes contra posibles ataques. La ciberseguridad es un aspecto crítico en la gestión de infraestructuras tecnológicas, especialmente en entidades gubernamentales.
Recientemente, el Grupo de Análisis de Amenazas (TAG) de Google reveló que una vulnerabilidad de día cero, ahora corregida, en los procesadores móviles de Samsung, ha sido utilizada como parte de una cadena de exploits para lograr la ejecución de código arbitrario. Esta vulnerabilidad, identificada como CVE-2024-44068 y con una puntuación CVSS de 8.1, permite a los atacantes ejecutar código en un proceso de servidor de cámara privilegiado, lo que podría llevar a una escalada de privilegios.
Recomendaciones para las Organizaciones
Ante la proliferación de vulnerabilidades críticas como CVE-2024-38094, CISA ha propuesto una serie de requisitos de seguridad para mitigar el acceso masivo a datos personales confidenciales y datos gubernamentales por parte de actores maliciosos. Entre las recomendaciones, se destaca que las organizaciones deben corregir las vulnerabilidades explotadas conocidas en un plazo de 14 días naturales. Para las vulnerabilidades críticas sin explotación conocida, el plazo se extiende a 15 días, mientras que para las de alta gravedad sin explotación, el tiempo asignado es de 30 días.
Para cumplir con estos requisitos, es fundamental que las organizaciones mantengan registros de auditoría de los accesos a datos sensibles. Esto incluye establecer procesos organizacionales para utilizar dichos registros de manera efectiva. También se aconseja implementar sistemas de gestión de identidad que ayuden a identificar quién tiene acceso a diferentes conjuntos de datos, garantizando así un control efectivo sobre la información crítica.
En fin, a vulnerabilidad CVE-2024-38094 en Microsoft SharePoint es una amenaza significativa que requiere atención inmediata. Las organizaciones deben estar al tanto de las actualizaciones de seguridad y aplicar los parches necesarios para protegerse contra la explotación. A medida que la ciberseguridad se convierte en un aspecto cada vez más crítico en la infraestructura tecnológica, la responsabilidad recae en cada entidad para salvaguardar sus datos y sistemas contra ataques potenciales. La cooperación con agencias como CISA y la implementación de mejores prácticas de seguridad son esenciales para mitigar estos riesgos.
Fuente: The Hacker News