La startup de ciberseguridad, SILIKN, informó que fue lanzada una alerta crítica por una vulnerabilidad en el sistema de gestión de blogs Apache Roller. En México podría exponer a múltiples instituciones a ciberataques remotos.
En un artículo, la firma mencionó que dicha vulneración está clasificada con una puntuación de severidad de 9.8 sobre 10 en la escala CVSS (Common Vulnerability Score System), pues permite la ejecución remota de código (RCE) sin necesidad de autenticación, representando una amenaza seria para los sistemas que utilizan este software.
Según SILIKN, la vulnerabilidad se encuentra en el mecanismo de procesamiento de plantillas de Apache Roller, que no valida correctamente las entradas.
“Esto permite que un atacante remoto envíe solicitudes maliciosas capaces de ejecutar código arbitrario en el servidor comprometido.
“Las consecuencias pueden ser severas, incluyendo la comprometida de información confidencial, instalación de malware, o incluso la toma total de control del sistema”, advirtió.
La Fundación Apache informó que todas las versiones hasta la 6.1.2 están afectadas, por lo que emitió una actualización de emergencia (versión 6.1.3), corrigiendo el fallo y exhortando a todos los administradores de sistemas a aplicar el parche de inmediato.
Los riesgos
SILIKN mencionó que de ser atacados, los sistemas de instituciones y organizaciones pueden enfrentar:
- Pérdida o robo de datos sensibles, como información de usuarios o contenido interno.
- Instalación de software malicioso, incluyendo ransomware y puertas traseras.
- Interrupciones de servicios esenciales, afectando la operatividad de sitios web.
- Uso del servidor como plataforma para nuevos ataques, escalando la amenaza a otras organizaciones.
- La facilidad de explotación de esta falla, que no requiere credenciales ni interacción del usuario, incrementa significativamente su peligrosidad, sobre todo en servidores expuestos a internet.
Entre los sistemas que podrían estar en riesgo si utilizan versiones vulnerables de Apache Roller, se encuentran sitios web institucionales de diversas dependencias gubernamentales mexicanas, como:
- Ayuntamiento de Playa del Carmen
- Portal DGME de la Secretaría de Educación Pública
- Poder Judicial del Estado de Chiapas
- Servicios en Línea del Poder Judicial del Estado de Chiapas
- Municipio de Atotonilco el Grande
- Alcaldía Álvaro Obregón
- Consejo Nacional de Normalización y Certificación de Competencias Laborales
- Gobierno del Estado de Puebla
- Secretaría de Seguridad y Protección Ciudadana
- Gobierno de Chapala
- Biodiversidad Mexicana
- Alcaldía de Cuajimalpa
- Secretaría de Cultura Guerrero
- Servicio Geológico Mexicano
- Ayuntamiento Constitucional de Jilotepec
- Sitio Web del IMSS
- Gobierno del Estado de Tabasco
er
