26 de junio de 2024Sala de redacción Ataque a la cadena de suministro/seguridad web Google ha tomado medidas para bloquear anuncios de sitios de comercio electrónico que utilizan el servicio Polyfill.io después de que una empresa china adquiriera el dominio y modificara la biblioteca JavaScript («polyfill.js») para redirigir a los usuarios a sitios maliciosos y fraudulentos. Más de 110.000 sitios que integran la biblioteca se ven afectados por el ataque a la cadena de suministro, dijo Sansec en un informe del martes. Polyfill es una biblioteca popular que incorpora soporte para funciones modernas en navegadores web. A principios de febrero, surgieron preocupaciones tras su compra por parte de la empresa de red de entrega de contenidos (CDN) con sede en China, Funnull. El creador original del proyecto, Andrew Betts, instó a los propietarios de sitios web a eliminarlo de inmediato y agregó que «ningún sitio web hoy requiere ninguno de los polyfills en el polyfill».[.]io» y que «la mayoría de las funciones agregadas a la plataforma web son adoptadas rápidamente por todos los principales navegadores, con algunas excepciones que generalmente no se pueden completar de todos modos, como Web Serial y Web Bluetooth». El desarrollo también impulsó a los proveedores de infraestructura web Cloudflare y Fastly para ofrecer puntos finales alternativos para ayudar a los usuarios a alejarse de Polyfill.io «La preocupación es que cualquier sitio web que incorpore un enlace al dominio polyfill.io original ahora dependerá de Funnull para mantener y proteger el proyecto subyacente para evitar el riesgo. «Tal ataque ocurriría si el tercero subyacente se ve comprometido o altera el código que se entrega a los usuarios finales de manera nefasta, causando, como consecuencia, todos los sitios web que utilizan la herramienta se verán comprometidos». La firma holandesa de seguridad de comercio electrónico dijo que el dominio «cdn.polyfill[.]io» ha sido descubierto desde entonces inyectando malware que redirige a los usuarios a sitios pornográficos y de apuestas deportivas. «El código tiene protección específica contra la ingeniería inversa y sólo se activa en dispositivos móviles específicos a horas específicas», dijo. «Tampoco se activa cuando detecta un usuario administrador. También retrasa la ejecución cuando se encuentra un servicio de análisis web, presumiblemente para no terminar en las estadísticas». c/side, con sede en San Francisco, también emitió una alerta propia, señalando que los mantenedores del dominio agregaron un encabezado de Protección de seguridad de Cloudflare a su sitio entre el 7 y 8 de marzo de 2024. Los hallazgos siguen a un aviso sobre una falla de seguridad crítica que afecta los sitios web de Adobe Commerce y Magento (CVE-2024-34102, puntuación CVSS: 9.8) que continúa sin parchearse en gran medida a pesar de que las correcciones están disponibles desde junio. 11 de enero de 2024. «En sí mismo, permite a cualquiera leer archivos privados (como aquellos con contraseñas)», dijo Sansec, que nombró en código a la cadena de exploits CosmicSting «Sin embargo, combinado con el reciente error iconv en Linux, se convierte en el. pesadilla de seguridad de la ejecución remota de código». Desde entonces, ha surgido que terceros pueden obtener acceso de administrador de API sin requerir una versión de Linux vulnerable al problema iconv (CVE-2024-2961), lo que lo convierte en un problema aún más grave. Encontré este artículo ¿interesante? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.