A mediados de 2024, se detectó un incremento significativo de intrusiones dirigidas contra organizaciones gubernamentales, de defensa y tecnología a nivel global. El grupo maligno denominado RedNovember utiliza herramientas de código abierto y software común para desplegar una puerta trasera sigilosa basada en Go, explotando vulnerabilidades en dispositivos expuestos a Internet como VPN y equilibradores de carga. Su actividad permite acceso persistente para espionaje, dificultando la detección mediante técnicas avanzadas de post-explotación.
CVE y severidad
| CVE | Producto afectado | Severidad |
|---|---|---|
| CVE-2024-3400 | Palo Alto GlobalProtect | Alta |
| CVE-2024-24919 | Check Point VPN gateways | Alta |
Productos afectados
| Fabricante | Producto | Componente |
|---|---|---|
| Palo Alto Networks | GlobalProtect | VPN appliance vulnerable a CVE-2024-3400 |
| Check Point | VPN gateways | Dispositivos VPN vulnerables a CVE-2024-24919 |
| Ivanti | Connect Secure VPN | Appliance VPN objetivo de reconocimientos en 2025 |
Solución
Aplicar las actualizaciones oficiales que corrigen CVE-2024-3400 y CVE-2024-24919 en los dispositivos VPN correspondientes y reforzar la gestión de parches periódicamente.
Recomendaciones
Priorizar la actualización inmediata de dispositivos de perímetro, implementar segmentación continua de redes y monitorear dominios de comando y control conocidos para detectar actividades sospechosas; además, emplear tecnologías de detección basadas en comportamiento para identificar cargas maliciosas en memoria.