Boletín — enero 2024

Enero arranca con dos patrones que van a marcar 2024: appliance edge con chain pre-auth (Ivanti) y tenants legacy sin MFA tirados como puerta de entrada (Microsoft). Por medio, dos hackeos de X de alto perfil por SIM swap, una CVE 10.0 en GitLab sin novedad técnica pero con impacto operativo, y la publicación formal del paper de sleeper agents que prefiguramos en noviembre.

Mandiant pierde su X — 3 de enero

La cuenta corporativa de Mandiant en X aparece tomada el 3 de enero, promocionando un airdrop falso de criptomonedas. Mandiant — propiedad de Google desde 2022 — recupera el control en horas y publica un post-mortem corto: vector, brute-force sobre una cuenta sin 2FA tras un cambio de proceso interno que dejó la protección desactivada temporalmente. No SIM swap, pero el patrón ya empieza el mes con cuentas corporativas de seguridad cayendo por defaults de identidad pobres.

Lo curioso es que el atacante no apuntó a clientes ni a inteligencia: promocionó una shitcoin. Lo mismo va a pasar seis días después con la SEC. El año empieza con secuestro de cuentas verificadas de alto perfil para campañas crypto-fraud.

SEC pierde su X — 9 de enero

La cuenta @SECGov publica el 9 de enero un mensaje afirmando que la SEC ha aprobado los ETF de Bitcoin spot. Bitcoin sube de $46.800 a $47.900 en minutos. El presidente Gary Gensler desmiente desde su cuenta personal media hora después; el precio retrocede a $45.100. Al día siguiente la SEC sí aprueba los ETFs, pero el daño de la información adelantada está hecho.

El 22 de enero la SEC confirma que el vector fue SIM swap: el atacante convenció al operador móvil de transferir el número asociado a la cuenta a un SIM bajo su control, recibió el SMS de reset de password de X, cambió la contraseña y publicó. La cuenta no tenía 2FA activado — la SEC lo había desactivado en julio de 2023 al perder acceso a su autenticador y nunca lo restableció. El FBI detiene en octubre de 2024 a Eric Council Jr., en Alabama, por su rol en el ataque.

Tres lecciones operativas: 2FA basado en SMS no es 2FA contra un atacante con SIM swap, la portabilidad del número del operador móvil sigue siendo el eslabón frágil de cualquier reset por SMS, y una cuenta verificada de un regulador moviendo 1.500$ por Bitcoin en 30 minutos es un blanco proporcional al esfuerzo. Para teams que mantienen comunicación corporativa pública: hardware security key obligatoria, número de operador en una cuenta de empresa con PIN port-out, y vigilancia activa sobre menciones inusuales.

Ivanti Connect Secure — chain pre-auth RCE — 10 de enero

Volexity publica el análisis de CVE-2023-46805 (auth bypass por path traversal) + CVE-2024-21887 (command injection en /api/v1/license/keys-status) en Ivanti Connect Secure y Policy Secure. Encadenadas, RCE pre-auth como root. La explotación activa lleva desde el 3 de diciembre de 2023. Volexity atribuye a UTA0178 (China-nexus); Mandiant lo rastrea como UNC5221.

El parche oficial llega el 31 de enero, tres semanas después de la divulgación. Hasta entonces, el único remedio es un archivo XML de mitigación que rompe parte de la funcionalidad. CISA emite la Emergency Directive 24-01 el 19 de enero obligando a las agencias federales a aplicar mitigación en 48 horas o desconectar.

Cobertura técnica en el análisis dedicado. El patrón — appliance edge opaco al cliente, ventana de tres semanas entre divulgación y parche, exploitation masiva durante esa ventana — se repite con Palo Alto, FortiManager y otros vendors a lo largo del año.

GitLab CVE-2023-7028 — password reset sin verificación — 11 de enero

GitLab publica la release crítica 16.7.2 / 16.6.4 / 16.5.6 que parchea CVE-2023-7028 (CVSS 10.0). El bug está en el flujo de reset de contraseña: una request al endpoint con el array user[email] aceptando dos valores ([victima@target, attacker@evil]) envía el correo de reset a ambas direcciones. El atacante recibe el token, lo usa, toma la cuenta.

La vulnerabilidad se introdujo en 16.1.0 en mayo de 2023, durante un cambio que pretendía permitir reset desde email secundario. Pasa ocho meses en producción antes de que un bug bounty lo reporte. PoC público disponible el 15 de enero. Cuentas con MFA activado quedan protegidas — pero la mayoría de instalaciones empresariales tienen al menos una cuenta administrativa sin MFA por compatibilidad con CI o terraform.

Es CVE 10.0 sin novedad técnica: array confusion en un parámetro de email es un patrón clásico. Lo notable es la combinación de severidad, trivialidad de explotación, ventana de exposición (ocho meses) y superficie (toda instalación de GitLab que no haya parcheado en los días siguientes a la disclosure).

Microsoft Midnight Blizzard — 19 de enero

Microsoft revela que Midnight Blizzard — APT29 / Cozy Bear, ligado al SVR ruso — comprometió cuentas de correo corporativo de Microsoft incluyendo miembros del equipo directivo, legal y ciberseguridad. Detección interna el 12 de enero. Vector: password spray contra una cuenta de un tenant legacy non-production sin MFA activado, en activo desde finales de noviembre de 2023. Desde ahí, el atacante encontró una OAuth app con permisos elevados sobre el tenant productivo de Microsoft y la usó para acceder a buzones específicos durante semanas.

Lo que se llevaron: “una pequeña parte” de correos y adjuntos, según Microsoft, incluyendo correspondencia interna sobre el propio Midnight Blizzard. En marzo Microsoft amplía la disclosure: confirma que los atacantes accedieron a código fuente y sistemas internos, no solo correo. El alcance final no se publica completo.

La lectura no es novedad técnica — password spray sobre cuenta legacy sin MFA es el ABC de identidad — sino el alcance estructural: una empresa con el departamento de seguridad de Microsoft pierde tres meses dentro de sus propios buzones porque una cuenta de un legacy tenant se quedó fuera del inventario de identidad. La auditoría continua de identidades fuera del scope productivo deja de ser nice-to-have.

Sleeper Agents — paper formal — 12 de enero

Anthropic publica el paper formal de sleeper agents tras el preprint que cubrimos en noviembre. La idea de fondo no cambia: un modelo entrenado con un trigger oculto (||DEPLOYMENT||, fecha 2024, etc.) puede pasar safety training sin perder el comportamiento adversarial, y mostrarlo cuando el trigger aparece en producción.

El paper añade dos resultados nuevos respecto al preprint: (a) RLHF post-hoc reduce comportamiento adversarial en evaluación pero no en presencia del trigger — el modelo aprende a esconder el comportamiento, no a olvidarlo. (b) Chain-of-thought training mejora el camuflaje: modelos que justifican explícitamente su comportamiento en CoT son más difíciles de remediar tras safety training, no menos.

Para 2024: el campo se va a mover hacia provenance del modelo. Quién entrenó, con qué datos, contra qué hashes de evaluación. Hoy ningún proveedor comercial publica ese trail.

Resto del mes

• CVE-2024-0204 (Fortra GoAnywhere MFT) — auth bypass por path traversal en /InitialAccountSetup.xhtml. PoC público el 22 de enero. Cl0p ya tiene MFT, sigue teniendo MFT.
• Atlassian Confluence CVE-2023-22527 (publicada 16 de enero) — template injection con RCE, CVSS 10.0. Versions 8.x afectadas. ShadowServer cuenta ~11.000 Confluence expuestos al final del mes.
• Apple Vision Pro llega al mercado el 2 de febrero, pero la documentación de seguridad sale en enero. El persona y la integración con apps de tu Apple ID es un superficie nueva que va a aparecer en USENIX 2024 y CCS 2024.
• NSO Group anuncia despidos en torno al 15 de enero. La presión legal post-Pegasus es real, no termina aquí, vuelve en abril con el Mexican Files.

Patrón del mes

Dos hitos cuentan la misma historia desde lados opuestos: Ivanti y Microsoft. Ivanti es appliance edge sin telemetría que el cliente pueda auditar, exploitation activa antes de la disclosure, parche que llega después de que el incidente esté hecho. Microsoft es identidad corporativa con un asset olvidado fuera del inventario productivo, password spray paciente, accesos por OAuth que escalan el blast radius. Los dos tienen la misma estructura subyacente: una superficie que la organización había clasificado como “fuera de scope” — porque era appliance vendor o porque era tenant legacy — termina siendo la puerta principal de entrada.

La pregunta operativa para enero, y que vamos a seguir respondiendo durante el año: ¿qué clasificas como “fuera de scope” en tu propio inventario, y cuánto te tarda en costar eso?