Identificouse unha vulnerabilidade de seguridade en Nessus Agent para Windows de Tenable que podería permitir a un atacante executar código malicioso co máximo nivel de privilexios do sistema (SYSTEM).
Esta situación supón un risco significativo para organizacións que dependen desta ferramenta amplamente despregada para a avaliación continua de vulnerabilidades.
A vulnerabilidade baséase nun fallo de escalada de privilexios mediante abuso de enlaces simbólicos (symlink / NTFS junctions).
En sistemas Windows, as junctions NTFS permiten redirixir operacións do sistema de ficheiros dunha ruta a outra.
Cando un proceso privilexiado, como o servizo de Nessus Agent, segue unha junction sen validación adecuada, pode ser manipulado para actuar sobre destinos non previstos.
Cadea de explotación
- O atacante crea unha junction NTFS maliciosa nunha ruta utilizada polo axente
- O servizo de Nessus interactúa con esa ruta durante operacións de mantemento (por exemplo, borrado de ficheiros)
- A operación rediríxese a un ficheiro ou directorio crítico do sistema
- O atacante provoca a eliminación controlada de compoñentes clave
- Posteriormente introduce un payload malicioso
- O código execútase co contexto SYSTEM
Impacto
- Execución de código arbitrario con privilexios SYSTEM
- Compromiso completo do sistema
- Instalación de malware persistente ou rootkits
- Desactivación de controis de seguridade
- Control total do endpoint afectado
Este tipo de técnica é especialmente perigosa porque o nivel SYSTEM supera incluso os privilexios dun administrador estándar.
Sistemas afectados
- Instalacións de Nessus Agent en Windows
- Entornas empresariais con despregues masivos do axente
- Sistemas críticos ou expostos onde o axente estea activo
Natureza do risco
- Vulnerabilidade de tipo Local Privilege Escalation (LPE)
- Baseada en abuso de symlink / junctions
- Impacto elevado en contornas con alto nivel de privilexios
Parche dispoñible
Tenable corrixiu a vulnerabilidade na versión:
- Nessus Agent 11.1.3
A actualización está dispoñible a través do portal oficial de descargas.
Recomendacións
- Actualizar inmediatamente a Nessus Agent 11.1.3 ou superior
- Revisar logs de actividade do axente en sistemas Windows
- Detectar creacións sospeitosas de junctions NTFS
- Monitorizar operacións de borrado realizadas por procesos privilexiados
- Correlacionar actividade anómala en endpoints con presenza de Nessus Agent
- Aplicar controis de integridade en ficheiros críticos do sistema
Gobernanza e control do risco
Este incidente evidencia debilidades en:
- Control de execución en procesos privilexiados
- Validación de rutas en operacións de sistema
- Xestión de ferramentas de seguridade con altos privilexios
Áreas impactadas:
- Seguridade de endpoint
- Xestión de vulnerabilidades
- Arquitectura de sistemas Windows
- Control de software de terceiros
Consideracións operativas
Dado que Nessus Agent adoita estar despregado en sistemas críticos, a explotación desta vulnerabilidade podería ter consecuencias graves a nivel organizativo.
A actualización debe tratarse como prioridade alta dentro dos procesos de xestión de parches, especialmente en servidores e equipos con acceso a información sensible.
Lectura estratéxica
Este caso reforza un patrón recorrente:
as ferramentas de seguridade tamén amplían a superficie de ataque cando operan con altos privilexios.
O risco non reside só na vulnerabilidade, senón na combinación de:
- privilexios elevados
- falta de validación de rutas
- confianza implícita en procesos de seguridade
Isto subliña a necesidade de aplicar principios de mínimo privilexio e validación estrita, mesmo en compoñentes deseñados para protexer o sistema.
