Se ha identificado una vulnerabilidad de seguridad en Nessus Agent para Windows de Tenable que podría permitir a un atacante ejecutar código malicioso con el máximo nivel de privilegios del sistema (SYSTEM).
Esto supone un riesgo significativo para organizaciones que dependen de esta herramienta ampliamente desplegada para la evaluación continua de vulnerabilidades.
La vulnerabilidad se basa en un fallo de escalada de privilegios mediante abuso de enlaces simbólicos (symlink / NTFS junctions).
En sistemas Windows, las junctions NTFS permiten redirigir operaciones del sistema de archivos de una ruta a otra.
Cuando un proceso privilegiado, como el servicio de Nessus Agent, sigue una junction sin validación adecuada, puede ser manipulado para actuar sobre destinos no previstos.
Cadena de explotación
- El atacante crea una junction NTFS maliciosa en una ruta utilizada por el agente
- El servicio de Nessus interactúa con esa ruta durante operaciones de mantenimiento (por ejemplo, eliminación de archivos)
- La operación se redirige a un archivo o directorio crítico del sistema
- El atacante provoca la eliminación controlada de componentes clave
- Posteriormente introduce un payload malicioso
- El código se ejecuta con contexto SYSTEM
Impacto
- Ejecución de código arbitrario con privilegios SYSTEM
- Compromiso completo del sistema
- Instalación de malware persistente o rootkits
- Desactivación de controles de seguridad
- Control total del endpoint afectado
Este tipo de técnica es especialmente peligrosa porque el nivel SYSTEM supera incluso los privilegios de un administrador estándar.
Sistemas afectados
- Instalaciones de Nessus Agent en Windows
- Entornos empresariales con despliegues masivos del agente
- Sistemas críticos o expuestos donde el agente esté activo
Naturaleza del riesgo
- Vulnerabilidad de tipo Local Privilege Escalation (LPE)
- Basada en abuso de symlink / junctions
- Alto impacto en entornos con procesos privilegiados
Parche disponible
Tenable ha corregido la vulnerabilidad en la versión:
- Nessus Agent 11.1.3
La actualización está disponible a través del portal oficial de descargas.
Recomendaciones
- Actualizar inmediatamente a Nessus Agent 11.1.3 o superior
- Revisar logs de actividad del agente en sistemas Windows
- Detectar creaciones sospechosas de junctions NTFS
- Monitorizar operaciones de eliminación realizadas por procesos privilegiados
- Correlacionar actividad anómala en endpoints con presencia de Nessus Agent
- Aplicar controles de integridad sobre archivos críticos del sistema
Gobernanza y control del riesgo
Este incidente evidencia debilidades en:
- Control de ejecución en procesos privilegiados
- Validación de rutas en operaciones del sistema
- Gestión de herramientas de seguridad con altos privilegios
Áreas impactadas:
- Seguridad de endpoint
- Gestión de vulnerabilidades
- Arquitectura de sistemas Windows
- Control de software de terceros
Consideraciones operativas
Dado que Nessus Agent suele estar desplegado en sistemas críticos, la explotación de esta vulnerabilidad podría tener consecuencias graves a nivel organizativo.
La actualización debe tratarse como prioridad alta dentro de los procesos de gestión de parches, especialmente en servidores y equipos con acceso a información sensible.
Lectura estratégica
Este caso refuerza un patrón recurrente:
las herramientas de seguridad también amplían la superficie de ataque cuando operan con altos privilegios.
El riesgo no reside solo en la vulnerabilidad, sino en la combinación de:
- privilegios elevados
- falta de validación de rutas
- confianza implícita en procesos de seguridad
Esto subraya la necesidad de aplicar principios de mínimo privilegio y validación estricta, incluso en componentes diseñados para proteger el sistema.
