Universidad Tecnologica de Pereira
Organos Autonomos · Sector educacion · Universidad pública
Riesgo crítico. Se detectaron 2 vulnerabilidades catalogadas por CISA como activamente explotadas en ataques reales (CVE-2024-4577, CVE-2021-22175). No son riesgos teóricos: equivalen a fallas conocidas y publicadas que atacantes ya están usando contra otras organizaciones. Adicionalmente, 6 de los hallazgos detectados se replican en otras entidades del Estado — el patrón sugiere causa raíz compartida (proveedor común, template institucional o stack heredado). Acción inmediata: bloquear acceso público a /.git/* en el web server y auditar la historia del repositorio por credenciales commiteadas.
Hallazgos (23)
Repositorio .git accesible publicamente en utp.edu.co
CriticaGET https://utp.edu.co/.git/config retorna HTTP 200 con contenido valido de Git ([core] repositoryformatversion = 0 filemode = true bare = false logallrefupd...). El directorio .git completo es descargable.
Acceso al .git permite descarga del codigo fuente completo, historial de commits, credenciales eliminadas en versiones previas, archivos de configuracion. Es uno de los hallazgos mas graves: equivale a entregar el repositorio interno al publico.
Repositorio .git accesible publicamente en www.utp.edu.co
CriticaGET https://www.utp.edu.co/.git/config retorna HTTP 200 con contenido valido de Git ([core] repositoryformatversion = 0 filemode = true bare = false logallrefupd...). El directorio .git completo es descargable.
Acceso al .git permite descarga del codigo fuente completo, historial de commits, credenciales eliminadas en versiones previas, archivos de configuracion. Es uno de los hallazgos mas graves: equivale a entregar el repositorio interno al publico.
Bucket GCS público universidad asociable a univ-utp
CriticaGET https://storage.googleapis.com/universidad?list-type=2 retorna ListBucketResult — bucket es listable públicamente. Body sample: <?xml version='1.0' encoding='UTF-8'?><ListBucketResult xmlns='http://doc.s3.amazonaws.com/2006-03-01'><Name>universidad</Name><Prefix></Prefix><KeyCount>0</KeyCount><IsTruncated>false</IsTruncated></
Un bucket cloud listable expone todos los objetos al público. Si la entidad lo creó para almacenamiento operacional, expone documentos, backups, archivos sensibles. Verificar ownership y bloquear acceso público inmediatamente.
Repositorio Git público con remote identificable en univ-utp
CriticaGET /.git/config retorna config válida con remotes: git@gitlab.com:CRIE-UTP/portal-principal-php.git. git-dumper recovery del repo completo es trivial.
Un .git/config visible identifica el repositorio remoto (GitHub/GitLab privado de la entidad). Aún sin acceso al remoto, el atacante puede recuperar el TODO el árbol de archivos del .git público con git-dumper, obteniendo: código fuente completo, lógica de negocio, validaciones cliente, comentarios internos, credenciales históricas commiteadas.
Hallazgo agrupado por similitud semántica (201 findings, 151 entidades)
CriticaML clustering identificó 201 findings similares afectando 151 entidades distintas. Categoría dominante: configuracion_expuesta. Severidades: {'critica': 201}. Muestra: Bucket GCS público recursos-app asociable a adres | Bucket GCS público recursos-web asociable a adres | Bucket GCS público adr-test asociable a adr.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (5 findings, 4 entidades)
CriticaML clustering identificó 5 findings similares afectando 4 entidades distintas. Categoría dominante: codigo_fuente_expuesto. Severidades: {'critica': 5}. Muestra: Repositorio .git accesible publicamente en orfeo.crautonoma.gov.co | Repositorio .git accesible publicamente en oab.ambientebogota.gov.co | Repositorio .git accesible publicamente en agenda.upn.edu.co.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
CISA KEV CVE-2024-4577: php . en univ-utp (explotación activa documentada; en uso por ransomware activo)
CriticaLa versión detectada php . corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).
El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.
CISA KEV CVE-2021-22175: gitlab . en univ-utp (explotación activa documentada)
CriticaLa versión detectada gitlab . corresponde a vendor='gitlab' product='gitlab' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2026-02-18, dueDate gov US=2026-03-11).
El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.
Sin registros CAA
Altadig CAA utp.edu.co retorna vacio.
Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.
DMARC en modo none (no reject)
Alta_dmarc.utp.edu.co publica politica permisiva.
Politica none no rechaza correos no autenticados. Atacante puede suplantar @utp.edu.co contra ciudadanos del territorio.
Hallazgo agrupado por similitud semántica (299 findings, 299 entidades)
AltaML clustering identificó 299 findings similares afectando 299 entidades distintas. Categoría dominante: configuracion_ssl. Severidades: {'alta': 299}. Muestra: Sin registros CAA | Sin registros CAA | Sin registros CAA.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (196 findings, 196 entidades)
AltaML clustering identificó 196 findings similares afectando 196 entidades distintas. Categoría dominante: datos_personales. Severidades: {'alta': 196}. Muestra: DMARC en modo permisivo (quarantine en lugar de reject) | DMARC en modo quarantine (no reject) | DMARC en modo quarantine (no reject).
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Certificado wildcard cubre 1 dominios en utp.edu.co
MediaWildcards en SAN: *.utp.edu.co. Total SAN: 3.
Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.
DNSSEC ausente en utp.edu.co
MediaNo hay registro DS en zona padre.
Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.
Sin canal estandar de divulgacion responsable
MediaNinguno de los 17 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).
Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.
Headers exponen versiones de stack en 7 hosts
MediaEjemplos: estadisticas.utp.edu.co: X-Powered-By=PHP/8.3.3; utp.edu.co: X-Powered-By=PHP/8.3.3; www.utp.edu.co: X-Powered-By=PHP/8.3.3.
Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.
Headers de seguridad insuficientes (0/8)
MediaApex utp.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).
Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.
Wordlist extendida revela 9 subdominios adicionales
MediaSample: smtp.utp.edu.co, pop.utp.edu.co, imap.utp.edu.co, ns.utp.edu.co, ns2.utp.edu.co
Surface DNS mas amplia de la que aparece en el inventario actual. No-critico por si solo, pero indica activos no monitorizados.
Bucket S3 privado existe con nombre universidad
InfoGET https://universidad.s3.amazonaws.com retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket S3 privado existe con nombre univ
InfoGET https://univ.s3.amazonaws.com retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket GCS privado existe con nombre univ
InfoGET https://storage.googleapis.com/univ retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Emisión anómala de certificados en utp.edu.co: 131 certs en 24 meses
Mediacrt.sh reporta 131 certificados emitidos para *.utp.edu.co en los últimos 24 meses. Top CAs: US(131). Volumen excepcional sugiere automatización (Let's Encrypt cron) o un espacio de subdominios muy activo. Revisar para detectar emisiones no autorizadas.
Volumen alto de emisiones puede ser legítimo (auto-renovación + muchos subdominios) pero también indica una superficie cambiante que dificulta auditoría. Recomendación: habilitar Certificate Transparency monitoring para alertar sobre cualquier emisión nueva.
Cert Transparency revela CA no estándar para utp.edu.co
MediaEmisiones de certificados desde CAs fuera del top conocido: ['US']. Total recent certs: 131.
Certificados emitidos por CAs no estándar pueden ser legítimos (GovTrust, autoridades internas) pero merecen verificación. Una CA no autorizada que emite a tu dominio es una pista temprana de ataque MITM o suplantación.
Activos públicos (17)
autodiscover.utp.edu.co
HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico (IP 52.96.173.216).
Observado: 2026-05-02
estadisticas.utp.edu.co
subdominio
Tech: Cloudflare. Title: Estadísticas e Indicadores Estratégicos - Estadísticas e Indicadores Estratégicos
Observado: 2026-05-02
pagos.utp.edu.co
subdominio
Tech: Apache, Tomcat. Title: HTTP Status 404 – Not Found
Observado: 2026-05-02
utp.edu.co
portal principal
Tech: Cloudflare. Title: UTP - Portal Principal
Observado: 2026-05-02
www.utp.edu.co
portal principal
Tech: Cloudflare. Title: UTP - Portal Principal
Observado: 2026-05-02
movil.utp.edu.co
subdominio
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 201.131.90.57).
Observado: 2026-05-02
pqrs.utp.edu.co
portal tramites
Server: Apache/2.4.6 (Red Hat Enterprise Linux) OpenSSL/1.0.2k-fips PHP/7.0.33
Tech: Apache, Cloudflare, PHP 7.0 (EOL). Title: PQRS
Observado: 2026-05-02
fenix.utp.edu.co
subdominio
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 201.131.90.15).
Observado: 2026-05-02
reportes.utp.edu.co
subdominio
HTTPS error: <urlopen error [SSL: SSLV3_ALERT_HANDSHAKE_FAILURE] ssl/tls alert handshake failure (_ssl.c:1016)>. FQDN publicado en DNS publico (IP 201.131.90.69).
Observado: 2026-05-02
www2.utp.edu.co
subdominio
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 201.131.90.22).
Observado: 2026-05-02
educacion.utp.edu.co
subdominio
Tech: no fingerprint. Title: Facultad de Ciencias de la Educación - Facultad de Ciencias de la Educación
Observado: 2026-05-02
salud.utp.edu.co
subdominio
Tech: no fingerprint. Title: Facultad de Ciencias de la Salud - Facultad de Ciencias de la Salud
Observado: 2026-05-02
sp.utp.edu.co
subdominio
Server: Apache/2.4.37 (centos) OpenSSL/1.1.1c mod_fcgid/2.3.9
Tech: Apache, PHP 7.2 (EOL), WordPress. Title: WordPress › Error
Observado: 2026-05-02
app.utp.edu.co
subdominio
Tech: no fingerprint. Title: -
Observado: 2026-05-02
media.utp.edu.co
subdominio
Tech: no fingerprint. Title: -
Observado: 2026-05-02
docs.utp.edu.co
subdominio
Tech: no fingerprint. Title: -
Observado: 2026-05-02
mercurio.utp.edu.co
subdominio
Tech: no fingerprint. Title: -
Observado: 2026-05-02