Soporte técnico
Documentación
Inicio de sesión
Contáctenos
Blog TuxCareCuando las puntuaciones CVSS no cuentan toda la historia: El caso de CVE-2024-50302
por Joao Correia
14 de marzo de 2025 - Evangelista técnico
Utilice los siguientes enlaces para seguir el estado de los parches para CVE-2024-50302 para KernelCare y Endless Lifecycle Support. En breve estarán disponibles todos los parches para todas las distribuciones soportadas y afectadas.
Introducción
La comunidad de ciberseguridad ha estado siguiendo de cerca CVE-2024-50302, una vulnerabilidad del kernel de Linux que, a pesar de su moderada puntuación CVSS de 5,5, se ha añadido al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA. Esta adición pone de relieve una realidad importante en la gestión de vulnerabilidades: Las puntuaciones CVSS, aunque valiosas, no siempre reflejan el verdadero potencial de amenaza de una vulnerabilidad en escenarios del mundo real.
Comprensión de CVE-2024-50302
CVE-2024-50302 es una vulnerabilidad en el controlador de Dispositivos de Interfaz Humana (HID) del kernel de Linux que permite a los atacantes una posible fuga de memoria del kernel a través de búferes de informe no inicializados. La descripción técnica es sencilla: el búfer de informes HID no se inicializaba a cero durante la asignación, lo que creaba una oportunidad para la divulgación de información.
La vulnerabilidad se corrigió en noviembre de 2024 con una simple solución: inicializar a cero el búfer de informe durante la asignación para evitar posibles fugas de memoria del kernel. Google incluyó esta corrección en la actualización de seguridad de Android de marzo de 2025.
Más allá de las cifras: Impacto en el mundo real
Mientras que MITRE asignó a CVE-2024-50302 una puntuación CVSS v3 de 5,5 (Media), Red Hat la elevó a 6,1 en su aviso. Esta discrepancia en sí misma indica algo importante: los proveedores más cercanos a la implementación suelen tener una mejor visibilidad de los escenarios prácticos de explotación.
Lo que hace que esta vulnerabilidad sea especialmente digna de mención es su explotación confirmada en la naturaleza. Según informes de Amnistía Internacional, es probable que las herramientas forenses para móviles de Cellebrite hayan aprovechado esta vulnerabilidad para desbloquear el teléfono Android de un estudiante activista serbio. Esto representa un importante problema para la privacidad y los derechos humanos, sobre todo teniendo en cuenta el contexto más amplio de vigilancia contra la sociedad civil en Serbia.
La conexión Cellebrite
La explotación de CVE-2024-50302 parece formar parte de un patrón más amplio. El Laboratorio de Seguridad de Google ya había proporcionado pruebas de una cadena de exploits de día cero de Cellebrite a socios del sector, lo que condujo a la identificación de tres vulnerabilidades, incluida la CVE-2024-50302.
El paquete UFED (Universal Forensic Extraction Device, dispositivo universal de extracción forense) de Cellebrite está diseñado para extraer datos de dispositivos móviles, incluso sin acceso a las contraseñas de los dispositivos, unas capacidades que hacen que estas herramientas sean valiosas para las fuerzas de seguridad, pero potencialmente peligrosas cuando se utilizan indebidamente para perseguir a activistas, periodistas u opositores políticos.
La situación se agravó hasta el punto de que, en febrero de 2025, Cellebrite anunció que suspendería el uso de sus productos por parte de determinados clientes en Serbia a raíz del informe de Amnistía Internacional sobre abusos en la vigilancia.
Listado KEV de CISA: Una señal crítica
La adición de CISA de CVE-2024-50302 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) envía un mensaje claro a las organizaciones: esta vulnerabilidad requiere atención inmediata, independientemente de su puntuación CVSS moderada.
Esto ejemplifica por qué las estrategias de gestión de vulnerabilidades no pueden basarse únicamente en las puntuaciones CVSS para establecer prioridades. Aunque los sistemas de puntuación proporcionan una forma estandarizada de evaluar la gravedad, no tienen en cuenta factores como:
- Explotación activa en la naturaleza
- Disponibilidad del código de explotación
- Valor estratégico para determinados actores de la amenaza
- Facilidad de explotación
- Posibilidad de encadenamiento con otras vulnerabilidades
Lecciones para los equipos de seguridad
El caso de CVE-2024-50302 ofrece varias lecciones importantes para los profesionales de la seguridad:
- Mire más allá de la puntuación CVSS: Priorice las vulnerabilidades basándose en una evaluación holística de las amenazas que incluya el estado de explotación en el mundo real.
- Supervise las fuentes fidedignas: El catálogo KEV de CISA, los avisos específicos de los proveedores y los informes de inteligencia sobre amenazas a menudo proporcionan un contexto crucial que las puntuaciones numéricas no pueden capturar.
- Considere la cadena de ataque completa: Esta vulnerabilidad demuestra cómo fallos aparentemente moderados pueden convertirse en críticos cuando se utilizan como parte de una sofisticada cadena de exploits.
- Comprender el impacto humano: Las vulnerabilidades de seguridad pueden tener consecuencias reales para la privacidad, los derechos humanos y las libertades civiles, factores que no se reflejan en los sistemas de puntuación técnica.
Reflexiones finales
CVE-2024-50302 sirve como recordatorio de que una gestión eficaz de las vulnerabilidades requiere mirar más allá de las puntuaciones numéricas para comprender el riesgo real que plantean los fallos de seguridad. Cuando una vulnerabilidad aparece en la lista KEV de CISA o está vinculada a la explotación activa por herramientas como Cellebrite, los equipos de seguridad deben tratarla con mayor urgencia, independientemente de su puntuación CVSS.
Para las organizaciones que utilizan sistemas basados en el kernel de Linux, especialmente dispositivos Android, parchear esta vulnerabilidad debería considerarse una prioridad, sobre todo teniendo en cuenta su explotación demostrada en operaciones de vigilancia selectiva.
Fuentes:
https://access.redhat.com/security/cve/cve-2024-50302
