Ir a contenido principal

CVSS 9.6 en el Senado de Rumanía

Stefan-Lucian Deleanu

CVSS 9.6 en el Senado de Rumanía
Foto de Amir Alsharif / Unsplash

A lo largo de los años, hemos reportado decenas de vulnerabilidades críticas a diversas instituciones públicas en Rumanía. Mientras que la mayoría se resolvieron rápidamente, algunas han persistido durante meses (o incluso más de un año), o han reaparecido debido a la deficiente gestión de los funcionarios.

Una de las más graves fue identificada recientemente en el Senado de Rumanía: una vulnerabilidad de Ejecutación Remota de Código (RCE) generación de la configuración deficiente del sistema de opiniones legislativas.

¿Qué significa CVSS 9.6?

CVSS (Sistema Común de Puntuación de Vulnerabilidades) es el estándar internacional para evaluar la severidad de las vulnerabilidades. La escala va de 0 a 10.

  • 0.0 - 3.9: Bajo
  • 4.0 - 6.9: Medio
  • 7.0 - 8.9: Alto
  • 9.0 - 10.0: Crítico

Una puntuación de 9.6 significa que un atacante puede tomar el control completo del servidor, sin autenticación, de forma remota y con un esfuerzo mínimo.

Prácticamente, un atacante podría modificar todo lo relacionado con el sitio web 'senat.ro', o lo que es accesible para el usuario web que opera en él.

Aunque no conocemos el nivel real del riesgo al que estuvo expuesto el Senado de Rumanía, ya que un análisis tan profundo habría requerido violar la ley, es casi seguro que si alguien hubiera utilizado esta vulnerabilidad para obtener la permanencia, podría haberse utilizado para desestabilizar el estado rumano a través de un ataque concertado y paralelo.

Imagínese si al mismo tiempo, 10-20 instituciones críticas dejan de funcionar, con un mensaje/manifestación terrorista publicado en la página principal con la intención de desestabilizar la economía del país.

Desafortunadamente, ahí estamos, y nuestra suerte depende únicamente de que las tensiones del norte sean tolerables y no seamos el objetivo principal en el mundo de los ciberataques.

Lo que hemos descubierto:

La plataforma del Senado permite el envío de opiniones públicas sobre los proyectos de ley, incluidos los anexos. El formulario de carga no valida los tipos de archivos cargados.

He probado de esta manera:

  1. He accedido al formulario público de opiniones
  2. He completado mis datos reales, incluyendo el motivo de la manera más transparente posible: "Prueba de sospecha de problema de configuración del servidor web", que fue visible para el operador de la página (el funcionario que aprueba las opiniones).
  3. He cargado un archivo .aspx (cod executabil pe serverele Windows/IIS)
  4. Un funcionario público aprobó la opinión junto con el anexo ejecutable y me dio un número de registro, que ahora es accesible. Aquí
  5. Al acceder a la página de opiniones, el archivo .aspx se ejecuta directamente en el servidor el archivo, que era una herramienta de carga. el archivo ha sido eliminado en este tiempo

El servidor IIS del Senado ejecutaba cualquier código .NET cargado por los usuarios. Sin validación. Sin sandbox. Directamente en producción.

Impacto potencial:

Con esta vulnerabilidad, un actor malicioso podría:

  • Cargar un shell web y obtén acceso completo al servidor
  • Exfiltrar bases de datos legislativas / documentos del senado.
  • Instala ransomware la infraestructura del Senado
  • Usar el servidor como pivote para ataques posteriores en la red de la institución, usándolo como proxy.
  • Modifica el contenido del sitio oficial del Senado.
  • Utiliza el servidor en diversos ataques complejos, con la intención de reducir la credibilidad de las autoridades públicas.

Hablamos de un institución democrática fundamentalUn ataque exitoso podría haber generado un vacío de confianza en las instituciones del estado, especialmente si hubiera sido realizado con esa intención por un actor estatal.

Lamentablemente, en el caso de los ataques cibernéticos, es muy difícil identificar al actor detrás de las acciones, lo que aumenta el peligro y hace que incluso los actores individuales más "cautelosos" sean difíciles de sancionar y, por lo tanto, desincentivados a llevar a cabo acciones maliciosas.

Por lo tanto, es necesario adoptar un enfoque proactivo en el área del blue team (defensiva).

Cronología:

  • 24.11.2025Carga de la utilidad y transmisión de la 'opinión'.
  • 25.11.2025Aprobación de carga, identificación de vulnerabilidades por mi parte, reporte inmediato a DNSC y CYBERINT (SRI)
  • 26.11.2025 (~2:00 de la mañana)La vulnerabilidad principal fue corregida en pocas horas
  • RegaloMi archivo de prueba (amCharts.png) încă există pe server, dovadă că remedierea a fost superficială

Archivo aún accesible: https://www.senat.ro/uploads/amCharts.png

Está archivado:

Máquina del Tiempo

¿Cuándo se eliminará?

¿Por qué persisten estos problemas?

DNSC y SRI no tienen la competencia legal No pueden intervenir directamente en los sistemas de las instituciones. Solo pueden dar indicaciones a los equipos de TI locales, que hacen lo que pueden, saben y quieren hacer. Por lo general, lo mínimo necesario, siendo indiferentes a los riesgos que se generan.

Lo que puedo y sé, y quieren ver: han corregido la ejecución del código, pero no han verificado qué archivos quedan en el servidor.

La solución es legislativa:

  1. Auditorías de seguridad cibernética deben responder penalmente por la calidad de las verificaciones: negligencia en el servicio o falsedad intelectual si firman auditorías incompletas, teniendo la calidad de funcionarios públicos asimilados
  2. DNSC se requieren competencias extensas para la intervención directa en infraestructura crítica, al menos en situaciones de emergencia, especialmente en lo que respecta a las instituciones públicas críticas. Para proteger la autonomía de las instituciones asistidas, este acceso debe ser necesariamente registrado.
  3. Normas técnicas deben ser obligatorias para cualquier sistema informático de las instituciones públicas.
  4. A corto plazo, el desarrollo de mecanismos pasivos, de rápida instalación, que puedan ser puestos a disposición de las instituciones públicas para filtrar automáticamente los peligros (por ejemplo: WAF).

Trilema:

O le damos más poder a los servicios de inteligencia (y la gente no quiere eso), o nos hacemos responsables institucionalmente, o esperamos quedarnos sin electricidad o agua potable cuando un actor estatal o un adolescente aburrido encuentre la próxima brecha.

Elegimos nosotros, o la realidad elige por nosotros, desafortunadamente.