Editor Top
Erik Avakianconsejero técnico de Info-Tech Research Group, explicó por qué esto es un problema. «Hay una falla crítica en el servidor de administración en la forma en que uno de sus servicios en segundo plano maneja ciertos tipos de mensajes de red que permite a un atacante en la red ejecutar su propio código sin iniciar sesión. Ese servicio aceptará un mensaje de cualquier persona en la red y luego puede cargar ciegamente una DLL de Windows usando una función estándar de Windows. El problema es que el software no valida adecuadamente de dónde proviene esa DLL».
Cuando esto sucede, dijo, el software afectado ejecutará el código del atacante, probablemente en el nivel más alto de privilegios. Entonces, en estas circunstancias, el atacante puede señalar a Apex Central una DLL que controla, por ejemplo, en una red remota. Esto podría luego penetrar más profundamente en el entorno del software corporativo. “En resumen, si este servidor está expuesto y sin parches, se puede controlar de forma remota”, afirmó Avakian.
Lo que hace que el ataque sea particularmente insidioso, dijo, es que los atacantes no necesitan iniciar sesión en el servidor ni copiar archivos en él. «Simplemente pueden alojar una DLL maliciosa en algún lugar que controlen e indicarle a Apex Central que la cargue. Debido a la falla, Apex Central se acerca y carga la DLL misma, introduciendo y ejecutando efectivamente el código del atacante sin verificar quién lo solicitó».
