MIO Cali | estadoseguro.co

CISA KEV CVE-2024-38475: apache_http 2.2.15 en emp-mio (explotación activa documentada)

Critica

La versión detectada apache_http 2.2.15 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-38475: Apache HTTP Server Improper Escaping of Output Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2025-05-01, dueDate gov US=2025-05-22).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

CISA KEV CVE-2021-42013: apache_http 2.2.15 en emp-mio (explotación activa documentada; en uso por ransomware activo)

Critica

La versión detectada apache_http 2.2.15 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-42013: Apache HTTP Server Path Traversal Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2021-11-03, dueDate gov US=2021-11-17; en uso por ransomware activo).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

CISA KEV CVE-2021-41773: apache_http 2.2.15 en emp-mio (explotación activa documentada; en uso por ransomware activo)

Critica

La versión detectada apache_http 2.2.15 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-41773: Apache HTTP Server Path Traversal Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2021-11-03, dueDate gov US=2021-11-17; en uso por ransomware activo).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

CISA KEV CVE-2019-0211: apache_http 2.2.15 en emp-mio (explotación activa documentada)

Critica

La versión detectada apache_http 2.2.15 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2019-0211: Apache HTTP Server Privilege Escalation Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2021-11-03, dueDate gov US=2022-05-03).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Hallazgo agrupado por similitud semántica (21 findings, 21 entidades)

Alta

ML clustering identificó 21 findings similares afectando 21 entidades distintas. Categoría dominante: datos_personales. Severidades: {'alta': 21}. Muestra: SPF ausente en secretariasenado.gov.co | SPF ausente en gov.co | SPF ausente en relatoria.colombiacompra.gov.co.

Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.

Hallazgo agrupado por similitud semántica (299 findings, 299 entidades)

Alta

ML clustering identificó 299 findings similares afectando 299 entidades distintas. Categoría dominante: configuracion_ssl. Severidades: {'alta': 299}. Muestra: Sin registros CAA | Sin registros CAA | Sin registros CAA.

Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.

Sin registros CAA

Alta

dig CAA mio.com.co retorna vacio.

Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Apex mio.com.co retorna HTTP 403

Alta

Servidor: Apache/2.2.15 (Oracle). Title: Apache HTTP Server Test Page powered by Linux.

El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Hallazgo agrupado por similitud semántica (94 findings, 94 entidades)

Alta

ML clustering identificó 94 findings similares afectando 94 entidades distintas. Categoría dominante: datos_personales. Severidades: {'alta': 94}. Muestra: Sin DMARC publicado | Sin DMARC publicado | Sin DMARC publicado.

Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.

SPF ausente en mio.com.co

Alta

No hay registro v=spf1 publicado.

Sin SPF, cualquier servidor del mundo puede enviar correo con remitente @mio.com.co. Spoofing trivial contra ciudadanos y proveedores.

Sin DMARC publicado

Alta

_dmarc.mio.com.co no devuelve registro TXT.

Sin DMARC, cualquier atacante puede suplantar correos @mio.com.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

DKIM no detectado en mio.com.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Headers de seguridad insuficientes (2/8)

Media

Apex mio.com.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Metro Cali S.A. (MIO)

Hallazgos (14)

Activos públicos (2)