Las VPNs que prometen seguridad... y entregan ejecución remota

 


Durante años, la industria ha promovido la idea de que las VPN son escudos impenetrables, una especie de zona segura desde la cual acceder a recursos internos sin preocupaciones. Pero, ¿qué pasa cuando el propio servidor VPN es el punto más débil del perímetro? Esta es la pregunta que muchos “expertos” aún no comprenden del todo. 

Para demostrarlo, vamos a invertir la narrativa tradicional. En lugar de hablar primero de una vulnerabilidad, vamos a empezar con algo práctico: encontrar, en tiempo real, dispositivos VPN corporativos expuestos que podrían ser vulnerables a ataques críticos. Luego, validaremos si efectivamente están en riesgo, sin necesidad de explotar nada ilegalmente ni tener acceso privilegiado.

Paso 1: Buscar VPNs vulnerables con Shodan

Los dispositivos de Ivanti (antes Pulse Secure) tienen un favicon característico. Si lo indexamos usando su hash MD5, podemos identificar de forma pasiva miles de instancias conectadas directamente a internet. Así de simple.

La query es:

http.favicon.hash:-485487831


En segundos, aparecen más de 1,400 instancias expuestas, repartidas por todo el mundo: Estados Unidos, Japón, China, Corea del Sur, Taiwán, y más. Entre ellas, universidades, proveedores de salud, empresas tecnológicas y organismos gubernamentales.

Lo preocupante es que muchas de estas organizaciones probablemente creen que están seguras porque “usan VPN”. Pero están exponiendo un sistema vulnerable justo en el borde de su red.

Paso 2: Confirmar la vulnerabilidad

Una vez identificadas las instancias, el siguiente paso es validarlas. Para eso existe un PoC público que explota la vulnerabilidad CVE-2025-22457, descubierta a principios de 2025, y que afecta a:

  • Ivanti Connect Secure (ICS) anterior a la versión 22.7R2.6

  • Policy Secure antes de 22.7R1.4

  • ZTA Gateway antes de 22.8R2.2

Este bug es un stack-based buffer overflow sin autenticación, disparado mediante un header HTTP malicioso (X-Forwarded-For). El script permite un chequeo pasivo, o uno más detallado que verifica si el dispositivo entra en estado de crash controlado (sin dañar el sistema).


Comando a ejecutar:
python3 ivantiexp.py --target https://205.208.10.68 --mode detailed

Esto confirma la presencia activa del bug, y que los dispositivos encontrados con Shodan están potencialmente explotables con acceso remoto total, sin necesidad de credenciales.

Lo que muchos no entienden sobre los ataques a VPN

Uno de los errores más comunes que todavía vemos en la industria es la falsa creencia de que las VPN son “inexpugnables”. Este mito es alimentado por muchos autoproclamados expertos en ciberseguridad que no comprenden cómo se atacan realmente estas tecnologías.

Los ataques no van dirigidos al túnel VPN cifrado en sí —que suele estar bien protegido— sino a los endpoints:

  • El dispositivo perimetral (el servidor VPN) que termina el túnel.

  • El cliente desde donde se conecta el usuario.

  • Las redes internas a las que se accede tras la autenticación.

Una VPN cifrada protege los datos en tránsito, pero no protege los dispositivos que la implementan. Y esos dispositivos, como acabamos de ver, pueden tener fallas críticas como CVE-2025-22457, que permiten ejecución remota de código y persistencia sin dejar rastros en disco.

Confundir seguridad del canal con seguridad del perímetro es un error que puede costar caro.

Lecciones aprendidas:

El mensaje es claro, confiar únicamente en una VPN para asegurar tu red es una estrategia frágil. No se trata de eliminar las VPN, sino de eliminar la falsa sensación de seguridad que muchos tienen con ellas.

La defensa debe construirse con múltiples capas:

  • Segmentación de red

  • Zero Trust Network Access (ZTNA)

  • Hardening de endpoints y appliances

  • Visibilidad en tiempo real del tráfico y comportamiento anómalo

  • Monitoreo de exposición externa y búsqueda continua en Shodan y similares

Y sobre todo, aceptar una verdad incómoda: una VPN vulnerable no te protege, te expone.

Popular posts from this blog

El estado de la Criptografía Cuántica en 2025 - Parte I

Image
En 2025, la criptografía cuántica se encuentra en un momento clave. Por un lado, ya vemos que la Distribución Cuántica de Claves (QKD) empieza a consolidarse comercialmente en entornos muy específicos, donde la seguridad es crítica. Pero al mismo tiempo, persisten desafíos técnicos y estratégicos que siguen limitando su adopción a gran escala. En este artículo quiero repasar el estado actual de esta tecnología, poniendo especial atención al despliegue de redes QKD terrestres por parte de operadores, y al avance de la QKD satelital —particularmente impulsada por China— como una vía para asegurar comunicaciones a nivel global. Nature: Satellite-based entanglement distribution over 1200 kilometers Uno de los ejes centrales del análisis es la relación entre QKD y la Criptografía Post-Cuántica (PQC). Desde que el NIST publicó los primeros estándares de PQC en 2024, la industria ya cuenta con una hoja de ruta concreta, basada en soluciones de software, para proteger la mayoría de los sistema...
Read more

Desarrollo de Exploits - Buffer Overflow

Image
  El desbordamiento de búfer ( buffer overflow ) es una de las vulnerabilidades más conocidas en la programación en C. A pesar de su antigüedad, sigue siendo relevante y en este artículo vamos a ver un ejemplo concreto y simple de cómo esta vulnerabilidad puede modificar el comportamiento de un programa. También veremos cómo evitar este tipo de errores. El código vulnerable A continuación, les dejo un programita en C que contiene una vulnerabilidad por desbordamiento de búfer. Con un poco de humor, claro esta, porque nadie dijo que escribir en C tenía que ser aburrido. En este código, la variable  nombre  tiene espacio para 8 caracteres, y  control   es una variable entera que debería mantener su valor inicial (cero). El problema ocurre porque se usa la función  gets() , que no verifica el tamaño del input que se ingresa por teclado. Esto permite que un usuario escriba más caracteres de los que caben en  nombre , sobrescribiendo la memoria adyacente, ...
Read more

Por qué los "aspirantes a hackers" abandonan (y cómo evitarlo)

Image
Abrís un tutorial sobre exploits porque viste un video llamativo o leíste una historia espectacular, y enseguida te encontrás con código en C, dumps hexadecimales y ensamblador que parecen otro idioma.  Esa mezcla de fascinación y confusión es la escena más común: mucha gente llega directamente a la parte más vistosa del hacking sin que le hayan dado las herramientas para entenderla, y termina frustrada cuando no puede reproducir lo que vio o cuando los ejemplos no funcionan en su entorno. El problema tiene dos caras: algunos se sienten sobrepasados porque les faltan las bases que sostienen lo avanzado; otros se paralizan al ver todo lo que “deberían” saber antes de empezar y abandonan de una.  No es una cuestión de talento, sino de secuencia y método. En este post te voy a mostrar por qué la formación fundacional importa, cómo leer un mapa de aprendizaje que no intimide y qué pasos prácticos tomar si querés avanzar —por ejemplo hacia exploit dev— sin dejar los pedazos en el ...
Read more