Universidad Tecnologica de Pereira
Organos Autonomos · Sector educacion · Universidad pública
Riesgo crítico. Se detectaron 2 vulnerabilidades catalogadas por CISA como activamente explotadas en ataques reales (CVE-2024-4577, CVE-2021-22175). No son riesgos teóricos: equivalen a fallas conocidas y publicadas que atacantes ya están usando contra otras organizaciones. Adicionalmente, 6 de los hallazgos detectados se replican en otras entidades del Estado — el patrón sugiere causa raíz compartida (proveedor común, template institucional o stack heredado). Acción inmediata: bloquear acceso público a /.git/* en el web server y auditar la historia del repositorio por credenciales commiteadas.
Hallazgos (14)
CISA KEV CVE-2024-4577: php . en univ-utp (explotación activa documentada; en uso por ransomware activo)
CriticaLa versión detectada php . corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).
El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.
CISA KEV CVE-2021-22175: gitlab . en univ-utp (explotación activa documentada)
CriticaLa versión detectada gitlab . corresponde a vendor='gitlab' product='gitlab' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2026-02-18, dueDate gov US=2026-03-11).
El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.
Hallazgo agrupado por similitud semántica (5 findings, 4 entidades)
CriticaML clustering identificó 5 findings similares afectando 4 entidades distintas. Categoría dominante: codigo_fuente_expuesto. Severidades: {'critica': 5}. Muestra: Repositorio .git accesible publicamente en orfeo.crautonoma.gov.co | Repositorio .git accesible publicamente en oab.ambientebogota.gov.co | Repositorio .git accesible publicamente en agenda.upn.edu.co.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Repositorio .git accesible publicamente en www.utp.edu.co
CriticaGET https://www.utp.edu.co/.git/config retorna HTTP 200 con contenido valido de Git ([core] repositoryformatversion = 0 filemode = true bare = false logallrefupd...). El directorio .git completo es descargable.
Acceso al .git permite descarga del codigo fuente completo, historial de commits, credenciales eliminadas en versiones previas, archivos de configuracion. Es uno de los hallazgos mas graves: equivale a entregar el repositorio interno al publico.
Repositorio Git público con remote identificable en univ-utp
CriticaGET /.git/config retorna config válida con remotes: git@gitlab.com:CRIE-UTP/portal-principal-php.git. git-dumper recovery del repo completo es trivial.
Un .git/config visible identifica el repositorio remoto (GitHub/GitLab privado de la entidad). Aún sin acceso al remoto, el atacante puede recuperar el TODO el árbol de archivos del .git público con git-dumper, obteniendo: código fuente completo, lógica de negocio, validaciones cliente, comentarios internos, credenciales históricas commiteadas.
Hallazgo agrupado por similitud semántica (196 findings, 196 entidades)
AltaML clustering identificó 196 findings similares afectando 196 entidades distintas. Categoría dominante: datos_personales. Severidades: {'alta': 196}. Muestra: DMARC en modo permisivo (quarantine en lugar de reject) | DMARC en modo quarantine (no reject) | DMARC en modo quarantine (no reject).
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (299 findings, 299 entidades)
AltaML clustering identificó 299 findings similares afectando 299 entidades distintas. Categoría dominante: configuracion_ssl. Severidades: {'alta': 299}. Muestra: Sin registros CAA | Sin registros CAA | Sin registros CAA.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Sin registros CAA
Altadig CAA utp.edu.co retorna vacio.
Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.
DMARC en modo none (no reject)
Alta_dmarc.utp.edu.co publica politica permisiva.
Politica none no rechaza correos no autenticados. Atacante puede suplantar @utp.edu.co contra ciudadanos del territorio.
Certificado wildcard cubre 1 dominios en utp.edu.co
MediaWildcards en SAN: *.utp.edu.co. Total SAN: 3.
Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.
DNSSEC ausente en utp.edu.co
MediaNo hay registro DS en zona padre.
Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.
Headers exponen versiones de stack en 7 hosts
MediaEjemplos: estadisticas.utp.edu.co: X-Powered-By=PHP/8.3.3; utp.edu.co: X-Powered-By=PHP/8.3.3; www.utp.edu.co: X-Powered-By=PHP/8.3.3.
Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.
Sin canal estandar de divulgacion responsable
MediaNinguno de los 17 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).
Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.
Headers de seguridad insuficientes (0/8)
MediaApex utp.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).
Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.
Activos públicos (17)
autodiscover.utp.edu.co
HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico (IP 52.96.173.216).
Observado: 2026-05-02
estadisticas.utp.edu.co
subdominio
Tech: Cloudflare. Title: Estadísticas e Indicadores Estratégicos - Estadísticas e Indicadores Estratégicos
Observado: 2026-05-02
pagos.utp.edu.co
subdominio
Tech: Apache, Tomcat. Title: HTTP Status 404 – Not Found
Observado: 2026-05-02
utp.edu.co
portal principal
Tech: Cloudflare. Title: UTP - Portal Principal
Observado: 2026-05-02
www.utp.edu.co
portal principal
Tech: Cloudflare. Title: UTP - Portal Principal
Observado: 2026-05-02
movil.utp.edu.co
subdominio
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 201.131.90.57).
Observado: 2026-05-02
pqrs.utp.edu.co
portal tramites
Server: Apache/2.4.6 (Red Hat Enterprise Linux) OpenSSL/1.0.2k-fips PHP/7.0.33
Tech: Apache, Cloudflare, PHP 7.0 (EOL). Title: PQRS
Observado: 2026-05-02
fenix.utp.edu.co
subdominio
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 201.131.90.15).
Observado: 2026-05-02
reportes.utp.edu.co
subdominio
HTTPS error: <urlopen error [SSL: SSLV3_ALERT_HANDSHAKE_FAILURE] ssl/tls alert handshake failure (_ssl.c:1016)>. FQDN publicado en DNS publico (IP 201.131.90.69).
Observado: 2026-05-02
www2.utp.edu.co
subdominio
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 201.131.90.22).
Observado: 2026-05-02
educacion.utp.edu.co
subdominio
Tech: no fingerprint. Title: Facultad de Ciencias de la Educación - Facultad de Ciencias de la Educación
Observado: 2026-05-02
salud.utp.edu.co
subdominio
Tech: no fingerprint. Title: Facultad de Ciencias de la Salud - Facultad de Ciencias de la Salud
Observado: 2026-05-02
sp.utp.edu.co
subdominio
Server: Apache/2.4.37 (centos) OpenSSL/1.1.1c mod_fcgid/2.3.9
Tech: Apache, PHP 7.2 (EOL), WordPress. Title: WordPress › Error
Observado: 2026-05-02
app.utp.edu.co
subdominio
Tech: no fingerprint. Title: -
Observado: 2026-05-02
media.utp.edu.co
subdominio
Tech: no fingerprint. Title: -
Observado: 2026-05-02
docs.utp.edu.co
subdominio
Tech: no fingerprint. Title: -
Observado: 2026-05-02
mercurio.utp.edu.co
subdominio
Tech: no fingerprint. Title: -
Observado: 2026-05-02