Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad (CVE-2025-37736) se debe a una autorización incorrecta en Elastic Cloud Enterprise (ECE), donde el usuario incorporado con rol “readonly” puede acceder a endpoints API que requieren privilegios administrativos. Esto incluye operaciones como creación de usuarios, gestión de claves de autenticación y administración de cuentas de servicio. La explotación de esta falla permite a un atacante con acceso limitado (incluso un usuario de solo lectura) obtener control completo del entorno ECE, comprometiendo confidencialidad, integridad y disponibilidad de los datos.
Recursos afectados
- Elastic Cloud Enterprise versiones desde 3.8.0 hasta 3.8.2.
- Elastic Cloud Enterprise versiones desde 4.0.0 hasta 4.0.2.
- Entornos on-premises y híbridos donde ECE esté desplegado.
Solución
- Actualizar a ECE versión 3.8.3 o superior.
- Actualizar a ECE versión 4.0.3 o superior.
- Verificar la existencia de cuentas o claves API inusuales creadas por el usuario «readonly» y eliminarlas con precaución.
Recomendaciones
- Inventariar todas las instancias de ECE en el entorno y confirmar la versión desplegada.
- Planificar la actualización inmediata al parche correspondiente.
- Monitorizar el uso de APIs en ECE para detectar accesos no autorizados o irregulares por parte de usuarios de solo lectura.
- Aplicar el principio de menor privilegio: revisar y restringir los permisos asignados a cada rol y usuario.
- Realizar auditorías de cuentas de servicio, claves de autenticación y registros de actividad para detectar posibles escalaciones previas a la corrección.
- Preparar un plan de contingencia para mitigación temporal en caso de no poder actualizar de inmediato: restringir acceso a la consola de ECE, limitar tráfico hacia los endpoints de API críticos, y monitorear alertas en tiempo real.
Referencias