Saltar al contenido
Volver al Blog

noticias · 5 min de lectura

Boletín — octubre 2023

Citrix Bleed se lleva sesiones autenticadas saltando MFA. Cisco IOS XE cae masivamente. Okta soporte filtra HAR files que dan acceso a 1Password y Cloudflare. Curl CVE-2023-38545 mucho hype, poco impacto. Y Atlassian Confluence sigue.

· Manuel López Pérez · noticias

Citrix Bleed se lleva sesiones autenticadas saltando MFA. Cisco IOS XE cae masivamente. Okta soporte filtra HAR files que dan acceso a 1Password y Cloudflare. Curl CVE-2023-38545 mucho hype, poco impacto. Y Atlassian Confluence sigue.

Octubre es el mes de los appliances rotos. Citrix NetScaler con un buffer overread que salta MFA, Cisco IOS XE con un add-admin pre-auth explotado masivamente, Atlassian Confluence con privilege escalation trivial, Okta con un breach del soporte que da acceso a 1Password y Cloudflare. Y un drama menor: Curl CVE-2023-38545 con hype previo al disclosure que el impacto real no acompaña.

CVE-2023-4966 — Citrix Bleed

10 de octubre. Citrix publica advisory por buffer overread en NetScaler ADC/Gateway. CVSS 9.4. Exploited in-the-wild desde finales de agosto. El atacante envía una petición HTTP con un header Host: largo, NetScaler devuelve memoria adyacente — incluidos session tokens activos. El token reutilizado da acceso a sesiones autenticadas saltando MFA.

A finales de octubre Boeing, ICBC, Allen & Overy, DP World Australia y varias agencias federales US están confirmados como víctimas. LockBit ransomware lo añade a su toolkit. Hemos publicado el análisis técnico completo y la PoC.

CVE-2023-20198 — Cisco IOS XE add-admin

16 de octubre. Cisco publica advisory de emergencia: vulnerabilidad CVSS 10.0 en la WebUI de IOS XE permite crear cuenta de administrador local sin autenticación. Una sola petición HTTP POST a /webui_wsma_HTTP con el cuerpo adecuado crea el usuario. El atacante entra con privilegios completos.

Cisco detecta explotación in-the-wild antes del advisory. CIA + Talos: 40.000+ dispositivos comprometidos en las primeras 72 horas con un implant específico (un endpoint persistente que sirve privilege escalation y persistencia incluso tras reboot). Los Cisco Catalyst, ISR, ASR con WebUI expuesta son el target principal: muchos están en redes de proveedores ISP, service providers y telcos.

Patch viene el 22 de octubre (versión 17.9.4a y similares). Mitigación inmediata: deshabilitar el http server global en la config con no ip http server y no ip http secure-server mientras llega.

Fuente: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

Okta — breach del soporte filtra HAR files

18 de octubre. Okta confirma que su sistema de gestión de tickets de soporte fue comprometido. Lo que el atacante exfiltró: archivos HAR (HTTP Archive) que los clientes subían al soporte para debugging. Los HAR contienen session tokens activos y headers de autenticación si el usuario los grabó durante una sesión autenticada.

1Password, Cloudflare y BeyondTrust son los primeros en confirmar que les llegó intento de uso de tokens robados de los HARs que habían subido al soporte de Okta. Las tres compañías detectaron y bloquearon a tiempo. La detección efectiva: ven sesiones autenticadas desde IPs sin precedente con tokens válidos pero edad sospechosa.

Lección operativa: los HAR files son credenciales activas disfrazadas de “logs para debugging”. Cualquier proveedor que pida HARs debe (a) avisar al cliente de qué borrar antes de subirlos, (b) almacenarlos cifrados con data scope del ticket, (c) destruirlos al cerrar el ticket. Pocos proveedores hacen las tres.

Fuente: https://sec.okta.com/articles/2023/10/tracking-unauthorized-access-oktas-support-system · https://blog.cloudflare.com/how-cloudflare-mitigated-yet-another-okta-compromise/

CVE-2023-38545 — Curl, el hype y la realidad

CVE-2023-38545 — Curl, el hype y la realidad

11 de octubre. Curl libera la versión 8.4.0 con dos CVEs preanunciados como “uno high severity, el peor que hemos tenido en mucho tiempo”. El curl maintainer Daniel Stenberg construye expectativa durante una semana. La industria se prepara para Heartbleed-de-Curl.

El bug real: heap overflow en el procesamiento de SOCKS5 proxy cuando el hostname destino es muy largo. Para explotarlo el atacante necesita:

  1. Que la víctima haga una request via SOCKS5 proxy.
  2. Que el hostname destino sea controlable por el atacante.
  3. Que el hostname tenga >256 caracteres.

Es decir: aplica a aplicaciones que usan curl con SOCKS5 contra un destino que el usuario puede controlar (algunos scrapers, enterprise crawlers, tools de pentesting). NO aplica a curl http://example.com típico. NO aplica a casi nada de uso doméstico o servidor estándar.

La industria se queda en una mezcla de alivio y crítica al maintainer por el hype desproporcionado. Lección para la próxima vez: el modelo “anuncio con anticipación + detalle al disclosure” es bueno solo si el impacto cumple expectativas; si no, erosiona credibilidad para el siguiente caso real.

Fuente: https://daniel.haxx.se/blog/2023/10/11/curl-8-4-0/

CVE-2023-22515 — Atlassian Confluence privilege escalation

4 de octubre. Atlassian publica advisory por improper authorization en Confluence Data Center / Server. El bug permite crear cuentas de administrador remotamente vía una petición específica al setup wizard, que aparentemente está cerrado tras la instalación pero responde a parámetros específicos.

Microsoft Threat Intelligence atribuye el zero-day a Storm-0062 (cluster China-nexus), exploited desde mediados de septiembre. CVSS 10.0. La exposición pública de Confluence en internet es muy alta — Confluence solía estar en perímetro corporativo durante años.

Mitigación: parchear inmediatamente. CISA emite advisory urgente. Aunque la exposición en organizaciones empresariales bien gestionadas no es enorme (Confluence detrás de SSO/VPN), la base instalada total sigue siendo grande para el patrón “Confluence directamente expuesto en confluence.empresa.com”.

Fuente: https://confluence.atlassian.com/security/cve-2023-22515-broken-access-control-vulnerability-in-confluence-data-center-and-server-1295682276.html

Resto del mes

  • MOVEit — Cl0p sigue. Final octubre: 2.000+ víctimas reconocidas.
  • 23andMe credential stuffing — atacante reúsa credenciales de otros breaches contra 23andMe. Datos genéticos de 6.9 millones de cuentas filtrados durante el resto del año.
  • Roundcube webmail CVE-2023-43770 — XSS persistente explotado por Winter Vivern (Belorussian/Russian-nexus) contra entidades de gobierno europeas.
  • iLeakage — CPU side-channel paper sobre Apple Silicon. Demo: leer contenido de pestañas Safari adyacentes. Apple parchea en macOS Sonoma y iOS 17.

Patrón transversal

Octubre confirma lo que llevamos viendo desde marzo: el perímetro corporativo está roto y los appliances que lo sostienen se rompen al ritmo de uno por mes. Citrix, Cisco, Atlassian, Okta — cuatro proveedores grandes en cuatro semanas. Si tu plan de seguridad para 2024 sigue dependiendo de un appliance perímetro + MFA + EDR, hay una alternativa madura (Zero Trust Network Access, identity-aware proxies, device-posture session binding) que conviene evaluar.

La defensa contra Citrix Bleed específicamente — rotar sesiones después de parchear — es el ejemplo cristalino del mes: parchear sin rotar deja al atacante dentro. La patch hygiene que servía en 2015 no sirve ya. Cada bug que expone state requiere rotar el state.

Share:
Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Boletín — julio 2025

noticias · 11 min

Boletín — julio 2025

Mes con dos hilos: la cadena ToolShell pone SharePoint on-prem en el centro del año, y la retrospectiva de reasoning model jailbreaks asienta lo que H1 deja sobre la mesa. Patch Tuesday con 137 CVEs y un zero-day en SQL Server. Citrix Bleed 2 explotado in-the-wild. Retail UK postmortems: M&S declara 270-440 millones de impacto. CrowdStrike Falcon cumple un año del Channel File 291.

· Manuel López Pérez

Boletín — abril 2024

noticias · 10 min

Boletín — abril 2024

Anthropic publica many-shot jailbreaking el 2. Palo Alto GlobalProtect cae como zero-day el 12. MITRE admite ser breached vía Ivanti el 19. Cisco ASA + ArcaneDoor el 24. Meta libera Llama 3. Sisense fuerza reset masivo. LayerSlider SQLi pre-auth.

· Manuel López Pérez

Boletín — julio 2023

noticias · 5 min

Boletín — julio 2023

GCG suffix de Zou et al. automatiza el jailbreak. Storm-0558 robó una clave de firma de Microsoft y leyó email de gobierno US. EU AI Act se publica en DOUE. Citrix NetScaler con CVE-2023-3519 explotado in-the-wild.

· Manuel López Pérez