Es probable que CISA haya agregado dos vulnerabilidades de VeraCore, CVE-2024-57968 y CVE-2025-25181, a su catálogo de vulnerabilidades explotadas conocidas (KEV) debido a la explotación activa por parte del Grupo XE.
Estas vulnerabilidades afectan a VeraCore, un software de gestión de almacenes de Advantive, fundamental para las cadenas de suministro de fabricación y distribución.
CVE-2024-57968 está parcheado en la versión 2024.4.2.1, mientras que CVE-2025-25181 permanece sin parches en marzo de 2025, lo que aumenta los riesgos.
XE Group ha explotado estos fallos para implementar shells web, manteniendo el acceso durante más de cuatro años en algunos casos.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) mantiene el catálogo KEV para rastrear vulnerabilidades explotadas activamente en la naturaleza, ayudando a las organizaciones a priorizar la remediación.
VeraCore se utiliza ampliamente para la gestión de almacenes y el cumplimiento de pedidos, lo que hace que sus vulnerabilidades sean una preocupación importante para la seguridad de la cadena de suministro.
- CVE-2024-57968: Una vulnerabilidad de carga de archivos sin restricciones (CVSS 9.9). Permite a los usuarios autenticados cargar archivos arbitrarios en directorios de servidores no deseados debido a una validación de entrada insuficiente. Parcheado en VeraCore 2024.4.2.1.
- CVE-2025-25181: una vulnerabilidad de inyección SQL (CVSS 5.8). Permite a atacantes remotos inyectar consultas SQL maliciosas a través de entradas no desinfectadas, exponiendo potencialmente el contenido de la base de datos. No hay ningún parche disponible a partir de marzo de 2025.
Cómo funciona el ataque
El Grupo XE encadena estas vulnerabilidades en un ataque de varios pasos:
Acceso inicial mediante inyección SQL (CVE-2025-25181):
Los atacantes crean solicitudes HTTP con cargas útiles de SQL maliciosas dirigidas a puntos finales vulnerables en VeraCore.
Ejemplo: un parámetro como ?id=1; SELECT * FROM web_config podría recuperar datos confidenciales (por ejemplo, credenciales) de la base de datos si no se desinfectan adecuadamente.
Este paso extrae archivos de configuración (por ejemplo, web.config) o credenciales de usuario, proporcionando acceso autenticado.
Implementación de Web Shell (CVE-2024-57968):
Utilizando credenciales robadas, los atacantes aprovechan la falla de carga de archivos para cargar un shell web ASPX (por ejemplo, ASPXSpy) en un directorio grabable.
El shell web, un pequeño script (a menudo <100 líneas), permite la ejecución remota de comandos, manipulación de archivos y persistencia.
Comando de ejemplo: cmd.exe /c dir para enumerar archivos o 7z.exe a archive.zip * para comprimir datos para su filtración.
El web shell proporciona una puerta trasera que permite a los atacantes regresar después de años, como se vio en casos que se remontan a 2020.
Enumeran el sistema de archivos, filtran datos y mantienen el sigilo imitando el tráfico legítimo.
Activo desde 2010, XE Group apunta a las cadenas de suministro, aprovechando estas fallas de día cero para el robo de datos y la interrupción operativa. Su capacidad para persistir sin ser detectados durante más de cuatro años subraya la sofisticación del ataque, lo que plantea riesgos para la logística y la infraestructura crítica.
Recomendaciones
Para CVE-2024-57968: actualice a VeraCore 2024.4.2.1 para bloquear la explotación de la carga de archivos.
Para CVE-2025-25181: aplique mitigaciones como validación de entradas, declaraciones preparadas y monitoreo de red para intentos de inyección SQL hasta que se publique un parche.
General: utilice una autenticación sólida, supervise la actividad del shell web (por ejemplo, archivos ASPX inusuales) y siga las instrucciones de CISA.
La inclusión por parte de CISA de estas vulnerabilidades en el catálogo KEV, probablemente actualizado a principios de marzo de 2025, indica una necesidad urgente de actuar. Las organizaciones que utilizan VeraCore deben abordar estas fallas para mitigar las amenazas actuales de los ataques persistentes de XE Group.
