Los investigadores de seguridad cibernética han descubierto un grave problema de seguridad que permite que Laravel App_Keys filtró que se armen para obtener capacidades de ejecución de código remoto en cientos de aplicaciones. «La App_Key de Laravel, esencial para encriptar datos confidenciales, a menudo se filtra públicamente (por ejemplo, en Github)», dijo Gitguardian. «Si los atacantes obtienen acceso a esta clave, pueden explotar una falla de deserialización para ejecutar código arbitrario en el servidor, poniendo en riesgo los datos y la infraestructura». La compañía, en colaboración con SynackTiv, dijo que fue capaz de extraer más de 260,000 App_Keys de Github desde 2018 hasta el 30 de mayo de 2025, identificando más de 600 aplicaciones de Laravel vulnerables en el proceso. Gitguardian dijo que observó más de 10,000 Keyas únicos en Github, de los cuales 400 App_Keys fueron validados como funcionales. APP_Key es una clave de cifrado aleatoria de 32 bytes que se genera durante la instalación de Laravel. Almacenado en el archivo .env de la aplicación, se usa para cifrar y descifrar datos, generar cadenas seguras y aleatorias, firmar y verificar datos, y crear tokens de autenticación únicos, haciendo un componente de seguridad crucial. Gitguardian señaló que la implementación actual de Laravel de la función Decrypt () introduce un problema de seguridad en el que se deserializa automáticamente los datos descifrados, abriendo así la puerta para una posible ejecución del código remoto. «Específicamente en las aplicaciones de Laravel, si los atacantes obtienen la APP_Key y pueden invocar la función Decrypt () con una carga útil maliciosa, pueden lograr la ejecución de código remoto en el servidor web de Laravel», dijo la investigadora de seguridad Guillaume Valadon. «Esta vulnerabilidad se documentó por primera vez con CVE-2018-15133, que afectó las versiones de Laravel antes de 5.6.30. Sin embargo, este vector de ataque persiste en versiones más nuevas de Laravel cuando los desarrolladores configuran explícitamente la serialización de la sesión en cookies utilizando la configuración de cookies session_driver = cookies, como lo demuestra CVE-2024-5556». Vale la pena señalar que CVE-2018-15133 ha sido explotado en la naturaleza por los actores de amenaza asociados con el malware Androxgh0st, después de escanear Internet para aplicaciones de Laravel con archivos .env mal configurados. Un análisis posterior ha encontrado que el 63% de las exposiciones de APP_Key se originan a partir de archivos .env (o sus variantes) que generalmente contienen otros secretos valiosos, como tokens de almacenamiento en la nube, credenciales de bases de datos y secretos asociados con plataformas de comercio electrónico, herramientas de atención al cliente y servicios de inteligencia artificial (AI). Más importante aún, aproximadamente 28,000 pares APP_KEY y APP_URL se han expuesto simultáneamente a GitHub. De estos, se ha encontrado que aproximadamente el 10% es válido, lo que hace que 120 aplicaciones vulnerables a los ataques de ejecución de código remoto trivial. Dado que la configuración de APP_URL especifica la URL base de la aplicación, exponer tanto APP_URL como APP_KEY crea un potente vector de ataque que los actores de amenaza pueden aprovechar para acceder directamente a la aplicación, recuperar cookies de sesión e intentar descifrarlos utilizando la clave expuesta. Lo que los desarrolladores necesitan es una ruta de rotación clara, respaldada por el monitoreo que marca cada reaparición futura de cadenas sensibles a través de registros de CI, compilaciones de imágenes y capas de contenedores. «Los desarrolladores nunca deberían simplemente eliminar las aplicaciones expuestas de los repositorios sin la rotación adecuada», dijo Gitguardian. «La respuesta adecuada implica: girar inmediatamente la APP_Key comprometida, actualizar todos los sistemas de producción con la nueva clave e implementar un monitoreo secreto continuo para evitar futuras exposiciones». Este tipo de incidentes también se alinean con una clase más amplia de vulnerabilidades de deserialización de PHP, como PHPGGC ayudan a los cadenas de dispositivos PHPGGC que desencadenan comportamientos no intencionados durante la carga de objetos. Cuando se usa en entornos de Laravel con claves filtradas, dichos dispositivos pueden lograr RCE completo sin necesidad de violar la lógica o las rutas de la aplicación. La divulgación se produce después de que Gitguardian reveló que descubrió un «asombroso 100,000 secretos válidos» en imágenes de Docker accesibles públicamente en el registro de Dockerhub. Esto incluye secretos asociados con Amazon Web Services (AWS), Google Cloud y GitHub Tokens. Un nuevo análisis binarly de más de 80,000 imágenes de Docker únicas que abarcan 54 organizaciones y 3,539 repositorios también han descubierto 644 secretos únicos que abarcaron credenciales genéricas, tokens web JSON, encabezado de autorización básica de HTTP, Key de Google Cloud API Key, AWS Access Tokens Tokens API API, entre otros. «Los secretos aparecen en una amplia variedad de tipos de archivos, que incluyen código fuente, archivos de configuración e incluso archivos binarios grandes, áreas donde muchos escáneres existentes se quedan cortos», dijo la compañía. «Además, la presencia de repositorios de Git enteros dentro de las imágenes de contenedores representa un riesgo de seguridad grave y a menudo pasado por alto». Pero eso no es todo. La rápida adopción del Protocolo de contexto del modelo (MCP) para permitir flujos de trabajo de agente en aplicaciones de IA impulsadas por la empresa ha abierto vectores de ataque nuevos, una preocupación por ser la fuga de secretos de los servidores MCP publicados hasta repositorios de GitHub. Específicamente, Gitguardian descubrió que 202 de ellos filtraron al menos un secreto, que representa el 5.2% de todos los repositorios, un número que la compañía dijo que es «un poco más alto que la tasa de ocurrencia del 4.6% observada en todos los repositorios públicos,» los servidores de MCP son una «nueva fuente de fuentes secretas». Mientras esta investigación se enfoca en Laravel, el mismo problema, el mismo problema, los segurales en el público en el público en el público en los Servidores públicos – pilas. Las organizaciones deben explorar escaneo secreto centralizado, guías de endurecimiento específicas de Laravel y patrones seguros por diseño para administrar archivos .env y secretos de contenedores en los marcos. ¿Encontró este artículo interesante? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
