Boletín — noviembre 2024

Noviembre cierra con dos cosas grandes que se piden estar en el mismo boletín. La primera es MCP: Anthropic publica el 25 un spec abierto que estandariza la conexión modelo ↔ herramientas externas, con SDKs y un primer cliente de referencia. La segunda es Palo Alto PAN-OS: dos CVE (auth bypass + privilege escalation) explotados as zero-day desde principios de mes, con watchTowr publicando análisis técnico el 19. Por debajo, Salt Typhoon se vuelve un nombre oficial cuando T-Mobile entra al listado, Hot Topic suma 56 millones de cuentas al dataset que Have I Been Pwned recibe, HellCat entra al mapa con un golpe a Schneider Electric en formato exigir-el-pago-en-baguettes, y Connor Moucka consiente la extradición a Estados Unidos en el caso Snowflake.

Model Context Protocol — Anthropic publica el 25 de noviembre

25 de noviembre. Anthropic publica Model Context Protocol (MCP): un spec abierto basado en JSON-RPC 2.0, SDKs en Python y TypeScript, servidores de referencia para Google Drive, Slack, GitHub, Git, Postgres y Puppeteer, y Claude Desktop como primer cliente compatible. La arquitectura tiene tres primitivas que el servidor ofrece (tools, resources, prompts) y una primitiva inversa que el cliente ofrece al servidor (sampling).

La pieza más relevante del spec para seguridad está en la sección Trust & Safety: “MCP itself cannot enforce these security principles at the protocol level”. El protocolo deja el consentimiento humano, la authorization, el scoping de resources y la validación de descripciones de tools en manos del host. Es el patrón confused deputy que documentamos en septiembre de 2023 con ChatGPT plugins, ahora con un protocolo común y catálogo abierto.

El análisis completo, con servidor MCP de juguete y reproducción de indirect injection vía página web con tools de fetch_url + send_email, vive en el post dedicado.

Fuente: https://www.anthropic.com/news/model-context-protocol · https://modelcontextprotocol.io/specification/2024-11-05

Palo Alto PAN-OS — CVE-2024-0012 + CVE-2024-9474

8 de noviembre Palo Alto empieza a recomendar a clientes que restrinjan el acceso a la interfaz de gestión por sospecha de RCE. 15 de noviembre confirma actividad maliciosa contra el management interface y nombra Operation Lunar Peek. 18 de noviembre publica advisory con los dos CVE y entran a KEV el mismo día:

• CVE-2024-0012 (CVSS 9.3, auth bypass). El frontend Nginx no setea el header interno X-PAN-AUTHCHECK para ciertas rutas (cualquier PHP accesible vía /.js.map). El handler PHP uiEnvSetup.php decide saltar la validación de sesión cuando HTTP_X_PAN_AUTHCHECK == 'off'. Pedir la URL /php/ztp_gate.php/.js.map con header X-PAN-AUTHCHECK: off da paso al backend sin autenticación.
• CVE-2024-9474 (CVSS 7.2, command injection). El endpoint /php/utils/createRemoteAppwebSession.php acepta el parámetro user y lo escribe en $_SESSION['userName']. AuditLog.php lo interpola sin sanitizar en una llamada a pan_elog vía shell. Una sesión creada con user= `cmd` ejecuta el comando como root al primer GET subsecuente con la cookie de sesión.

La chain encadena los dos: auth bypass para acceder a createRemoteAppwebSession, payload en user, sesión con PHPSESSID malicioso, segunda request a /index.php/.js.map para detonar.

watchTowr publica el 19 de noviembre el análisis técnico con la cadena completa y una plantilla de Nuclei. La explotación masiva escala en cuanto sale el writeup: ShadowServer registra 2.000+ appliances comprometidos a finales de mes. CISA marca remediation deadline el 9 de diciembre.

Las preguntas operativas del incidente son las habituales con appliance edge:

• ¿Tenías el management interface expuesto a internet? La guía de Palo Alto lleva años diciendo que no, pero el patrón se repite en cada vendor.
• ¿Tienes detección sobre headers anómalos (X-PAN-AUTHCHECK: off) en tu telemetría WAF/edge?
• ¿Los logs del firewall propio están en otro sitio que no sea el propio firewall?

Fuente: https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/ · https://labs.watchtowr.com/pots-and-pans-aka-an-sslvpn-palo-alto-pan-os-cve-2024-0012-and-cve-2024-9474/

Salt Typhoon — T-Mobile en el listado

15 de noviembre. The Wall Street Journal publica que T-Mobile entra al listado de operadores afectados por la campaña Salt Typhoon (APT chino, China-nexus) que en septiembre ya había puesto a Verizon, AT&T y Lumen en el mapa. T-Mobile confirma que detectó la intrusión y la cortó, dice que no hay evidencia de impacto significativo a datos de cliente.

La parte que cambia el peso del incidente es lo que pasa fuera de T-Mobile. Durante noviembre los reportes apuntan a que Salt Typhoon llevaba al menos ocho meses dentro de las redes telco y que el objetivo no era exfil masiva sino acceso al sistema lawful intercept — la infraestructura por la que pasan las wiretaps autorizadas judicialmente. CISA, NSA y FBI emiten guidance conjunta a finales de mes; el hardening guidance formal llegará en diciembre.

Lectura operativa que ya estaba latente desde septiembre: la frontera entre “compromiso de un operador” y “compromiso del régimen legal de comunicaciones” se borra cuando el atacante busca el lado del operador donde vive lawful intercept. Para reguladores y reguladas, la conversación que se abre es de qué telemetría se tiene sobre quién accede a esa infraestructura, no solo sobre el tráfico que pasa por ella.

Fuente: https://www.wsj.com/tech/cybersecurity/t-mobile-hacked-in-massive-chinese-breach-of-telecom-networks-4b2d7f92

Hot Topic / Robling — 56 millones de cuentas

Mediados de noviembre. Have I Been Pwned recibe un dataset con 56,9 millones de cuentas de Hot Topic, Torrid y Box Lunch (todas marcas del mismo grupo). Datos incluidos: nombre completo, email, teléfono, dirección postal, fecha de nacimiento, historial de compras y, en una parte del dataset, datos parciales de tarjeta de pago. El actor con alias Satanic lo publica en BreachForums; arranca con $20.000 de precio, lo baja a $4.000 y pide a Hot Topic $100.000 por retirar el listado.

Hudson Rock atribuye el origen al breach previo de Robling, un proveedor de analytics retail conectado por API. La cadena: infostealer (Lumma) infecta el laptop de un dev de Robling → credenciales corporativas filtradas → acceso al pipeline de datos compartido → exfil del dataset agregado de Hot Topic.

Hot Topic no ha confirmado oficialmente al cierre de noviembre. El patrón es el mismo que vimos en junio con Snowflake / UNC5537: infostealer en el laptop de un dev de un proveedor pequeño + acceso lateral al dato del cliente grande. La línea entre “tu seguridad” y “la seguridad de tu vendor de analytics” sigue sin trasladarse a contratos ni a auditoría.

Fuente: https://haveibeenpwned.com/Breach/HotTopic

Schneider Electric — HellCat por Jira

4 de noviembre. HellCat reclama acceso a un Jira de Schneider Electric. Publica una muestra: 40GB comprimidos, 400.000+ filas con datos de proyectos, issues internos, plugins y un buen pedazo de los 75.000 emails únicos de empleados y clientes que aparecían en tickets. El vector inicial: credenciales corporativas filtradas a través de Lumma infostealer.

El detalle que circula por Twitter / X es el rescate: HellCat exige $125.000 pagados en baguettes. Es marketing — Schneider Electric es francesa, la broma es para titulares y el pago real lo querrían en Monero. Pero el caso técnico es serio: Jira con credenciales reutilizadas sin MFA, sin network policy, accesible desde una sesión robada a un laptop de empleado.

Es la tercera vez que un actor compromete a Schneider Electric en 18 meses. En enero de 2024 fue Cactus contra la división Sustainability. En junio de 2023, Cl0p contra MOVEit. El patrón: empresa con superficie ENORME (proyectos en cientos de países, miles de contratistas), data hygiene del SaaS no se aprieta entre incidentes.

Fuente: https://www.bleepingcomputer.com/news/security/schneider-electric-confirms-dev-platform-breach-after-hacker-steals-data/

Connor Moucka — extradición consentida en el caso Snowflake

30 de octubre la RCMP arresta en Kitchener, Ontario, a Alexander “Connor” Moucka, 26, presunto operador detrás de los breaches de Snowflake (cubiertos en el post de junio) bajo los alias Waifu, Judische, Catist y Ellyel8. 5 de noviembre Moucka consiente formalmente la extradición a US, renuncia al plazo de espera de 30 días. La acusación incluye 20 cargos federales, entre ellos conspiracy to commit computer fraud, accesos no autorizados, wire fraud y aggravated identity theft, vinculada a los breaches de 165 clientes de Snowflake entre 2023 y mediados de 2024.

El indictment publicado en noviembre nombra también a John Binns como co-conspirador (Binns ya estaba detenido en Turquía por otro caso). Las estimaciones de la fiscalía: extorsión sobre 10+ organizaciones, 2,5 millones de dólares cobrados en rescates.

El caso es de los primeros donde la cadena infostealer → SaaS termina con un nombre detenido. La lección operativa para 2025 está más en lo que no se ha visto todavía: las decenas de aliases anónimos que aún operan el modelo, alimentados por el mercado de logs de infostealer que ningún operador de antivirus está tocando seriamente. Ese mercado es lo que UNC5537 explotó, y lo que sigue.

Fuente: https://www.justice.gov/usao-wdwa/pr/canadian-national-arrested-snowflake-data-theft-and-extortion-scheme

Resto del mes

• D-Link DSR routers EOL — Botnets Mirai/FICORA y Kaiten/CAPSAICIN siguen abusando bugs HNAP antiguos (GetDeviceSettings) de hace años contra dispositivos D-Link sin parche posible. FortiGuard documenta el spike de actividad en octubre-noviembre. D-Link recuerda que los modelos afectados están en EOL desde hace años y no hay parche planificado.
• DHL phishing — Campañas spoofeando waybill notifications dirigidas a usuarios europeos, con landing pages que copian el portal de tracking real y exfil de credenciales vía servicios legítimos (EmailJS). El detalle interesante: el dominio del remitente pasa DKIM para sí mismo, no para DHL. Defensa básica: cabecera Authentication-Results mira al From: y a la cadena de firma, no al display name.
• AWS pre-re:Invent (3-7 dic) — Anuncios filtrados antes de la conferencia: Bedrock Guardrails GA, soporte para tool use con modelos de terceros, IAM Roles Anywhere ampliado. Lectura para CISOs: el shared responsibility de modelos en Bedrock se afina, pero los logs de inferencia siguen sin estar habilitados por defecto.
• Volt Typhoon — Reaparece en una variante nueva contra routers SOHO al final del mes, con KV Botnet reactivado tras el takedown del FBI en enero. Lumen / Black Lotus publica detalles a mediados de noviembre.

Patrón del mes

Si tengo que destilar noviembre en una frase: el mes en que MCP se publica y el patrón de septiembre de 2023 vuelve sin que el ecosistema se haya enterado del retorno. La industria empieza a hablar de servidores MCP y catálogos de tools como si el problema fuera de adopción y no de trust boundary. El propio spec lo dice — el protocolo no puede forzar las garantías de seguridad, las pone el host. Pero la mayoría de discusiones públicas tratan ese párrafo como cláusula legal, no como invitación a la próxima ola de bugs.

Lo otro que se repite, mes con mes desde junio: la cadena infostealer → credencial → SaaS sin MFA / sin network policy → exfil. Hot Topic vía Robling, Schneider Electric vía Jira con credenciales de Lumma, el caso Snowflake en proceso judicial. El laptop de un dev sigue siendo el perimeter real, y la respuesta sigue siendo más sobre EDR de endpoint que sobre rotación corporativa de credenciales con cadencia agresiva.

Nos vemos en diciembre con Cleo MFT y el cierre de año.