El ciberataque afectó a Nominet y especula que fue perpetrado por hackers chinos, aunque la investigación aún está en curso y no hay evidencias de ninguna puerta trasera implementada en sus sistemas.
Nominet, la organización responsable del registro oficial de dominios .uk y de más de 11 millones de nombres como .co.uk, .gov.uk, .cymru y .wales, confirmó una intrusión en su red debido a una vulnerabilidad de día cero en el software Ivanti VPN.
Aunque la compañía detectó actividad sospechosa hace dos semanas, asegura que, hasta ahora, no hay evidencia de fuga o filtración de datos.
En un comunicado enviado a sus clientes, la empresa señaló que «el punto de acceso fue un software de VPN de terceros suministrado por Ivanti, que permite a nuestro personal acceder de forma remota a los sistemas». En el mensaje también menciona que ya estaban operando con protocolos de acceso restringido y firewalls para proteger sus sistemas y enfatizaron que “los sistemas de registro y gestión de dominios continúan funcionando con normalidad».
La semana pasada Ivanti advirtió sobre la brecha que está vinculada a la explotación. Se trata de una vulnerabilidad crítica (CVE-2025-0282) en Ivanti Connect Secure. Se trata de un error crítico de desbordamiento de búfer basado en pila (9.0) en Ivanti Connect Secure anterior a la versión 22.7R2.5, en Ivanti Policy Secure anterior a la versión 22.7R1.2 y en Ivanti Neurons para puertas de enlace ZTA anteriores a la versión 22.7R2.3. La falla permite a un atacante no autenticado ejecutar código de forma remota en los dispositivos.
Si bien la falla afecta a los tres productos, Ivanti dijo que solo la han visto explotada en dispositivos Ivanti Connect Secure.
Algunos expertos comentaron en medios especializados que el ciberataque habría comenzado en diciembre y fue llevado a cabo por un presunto grupo de espionaje chino identificado como UNC5337.
También se especula que los atacantes habrían utilizado el malware personalizado Spawn y desplegado herramientas como Dryhook y Phasejam en dispositivos comprometidos.
Ivante señaló la semana pasada que tenían conocimiento “de un número limitado de dispositivos Ivanti Connect Secure de clientes que han sido explotados”.
Al momento de lanzar el parche, algunos expertos de ciberseguridad cifran que más de 3.600 dispositivos ICS estaban expuestos en línea.
En meses anteriores, Ivanti también había solucionado otras tres vulnerabilidades de día cero en sus servicios en la nube que fueron activamente explotadas en ataques.
Tras descubrir el incidente, Nominet informó a las autoridades correspondientes, incluyendo el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), y restringió el acceso a sus sistemas a través de conexiones VPN.
La empresa asegura que continúa investigando el alcance del ataque mientras colabora con los organismos de seguridad del Reino Unido.
La intrusión ocurre después de que Nominet gestionara, hasta septiembre de 2024, el Servicio de Nombres de Dominio Protector del Reino Unido (PDNS), que protegía a más de 1.200 organizaciones y 7 millones de usuarios.
Por su parte, Ivanti emitió un comunicado donde destacó haber desarrollado y lanzado rápidamente un parche para la vulnerabilidad explotada, además de trabajar estrechamente con Nominet y las autoridades, y aprovecharon de pedir a sus clientes “seguir las pautas de seguridad de nuestro aviso para garantizar la protección de sus sistemas».