Etiqueta: Seguridad informatica Página 1 de 3

Los investigadores de seguridad cibernética han arrojado luz sobre una nueva operación de ransomware como servicio (RAAS) llamada Global Group que ha atacado a una amplia gama de sectores en Australia, Brasil, Europa y Estados Unidos desde su aparición a principios de 2025. El grupo global fue «promovido en el foro Ramp4u por el actor de amenaza conocido como ‘$$$'», el investigador Eclecticiq Arda B de Rükaya. «El mismo actor controla los Raas Blacklock y las operaciones de ransomware de Mamona previamente administradas». Se cree que Global Group es un cambio de marca de Blacklock después de que el sitio de fuga de datos de este último fue desfigurado por el cartel de ransomware de Dragonforce en marzo. Vale la pena mencionar que Blacklock en sí mismo es un cambio de marca de otro esquema Raas conocido como Eldorado. Se ha encontrado que el grupo de motivación financiera se inclina fuertemente en los corredores de acceso iniciales (IBAB) para implementar el ransomware armando el acceso a los electrodomésticos vulnerables de las redes de Cisco, Fortinet y Palo Alto. También se usan para utilizar la fuerza bruta para los portales de Microsoft Outlook y RDWEB. $$$ ha adquirido el protocolo de escritorio remoto (RDP) o el acceso a las redes corporativas a las redes corporativas, como las relacionadas con las firmas de abogados, como una forma de implementar herramientas posteriores a la explotación, realizar movimiento lateral, datos de sifón e implementar el ransomware. La subcontratación de la fase de infiltración a otros actores de amenaza, que suministran puntos de entrada precompprometidos a redes empresariales, permite a los afiliados gastar sus esfuerzos en la entrega de carga útil, la extorsión y la negociación en lugar de la penetración de la red. La plataforma RAAS viene con un portal de negociación y un panel de afiliados, el último de los cuales permite que los cibercriminales administren víctimas, construyan cargas útiles de ransomware para VMware ESXi, NAS, BSD y Windows, y operaciones de monitor. En un intento por atraer a más afiliados, los actores de amenaza prometen un modelo de intercambio de ingresos del 85%. «El panel de negociación de rescate de Global Group presenta un sistema automatizado impulsado por chatbots impulsados por la IA», dijo la compañía de seguridad holandesa. «Esto permite a los afiliados que no hablan inglés involucran a las víctimas de manera más efectiva». A partir del 14 de julio de 2025, el Grupo RAAS ha reclamado 17 víctimas en Australia, Brasil, Europa y Estados Unidos, que abarca la atención médica, la fabricación de equipos de aceite y gas, la maquinaria industrial y la ingeniería de precisión, la reparación automotriz, los servicios de recuperación de accidentes y la externalización de procesos comerciales a gran escala (BPO). Los enlaces a Blacklock y Mamona provienen del uso del mismo proveedor de VPS ruso ipserver y similitudes de código fuente con Mamona. Específicamente, se dice que Global Group es una evolución de Mamona con características adicionales para habilitar la instalación de ransomware de todo el dominio. Además, el malware también está escrito en GO, al igual que Blacklock. «La creación de Global Group del administrador de Blacklock es una estrategia deliberada para modernizar las operaciones, expandir las fuentes de ingresos y mantenerse competitivo en el mercado de ransomware», dijo Büyükkaya. «Esta nueva marca integra negociación con IA, paneles para dispositivos móviles y constructores de carga útil personalizables, atrayendo a un grupo más amplio de afiliados». La divulgación se produce cuando el Grupo de Ransomware Qilin surgió como la operación RAAS más activa en junio de 2025, representando a 81 víctimas. Otros jugadores principales incluyen Akira (34), Play (30), Safepay (27) y Dragonforce (25). «Safepay vio la disminución más pronunciada del 62.5%, lo que sugiere un retroceso importante», dijo Cyfirma, la compañía de seguridad cibernética. «Dragonforce surgió rápidamente, con ataques que aumentaron en un 212.5%». En total, el número total de víctimas de ransomware ha disminuido de 545 en mayo a 463 en junio de 2025, una disminución del 15%. Febrero encabeza la lista de este año con 956 víctimas. «A pesar de la disminución en los números, las tensiones geopolíticas y los ataques cibernéticos de alto perfil resaltan la creciente inestabilidad, potencialmente aumentando el riesgo de amenazas cibernéticas», señaló NCC Group a fines del mes pasado. Según los datos recopilados por el Centro Global de Inteligencia de Amenazas (GTIC) de Optiv, 314 víctimas de ransomware fueron enumeradas en 74 sitios de fuga de datos únicos en el primer trimestre de 2025, lo que representa un aumento del 213% en el número de víctimas. Se observaron un total de 56 variantes en el primer trimestre de 2024 «. Los operadores de ransomware continuaron utilizando métodos probados y verdaderos para obtener acceso inicial a las víctimas: ingeniería social/phishing, explotación de vulnerabilidades de software, compromiso de software expuesto e inseguro, ataques de cadena de suministro y apalancamiento de la comunidad inicial de accesorios (IAB)», dijo la investigación de Optiv Emily Lee. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

 14 de junio de 2025  El hacker NewsSecrets Management / SaaS Security Mientras que el phishing y el ransomware dominan los titulares, otro riesgo crítico persiste silenciosamente en la mayoría de las empresas: repositorios de GIT expuestos que filtran datos confidenciales. Un riesgo que crea silenciosamente el acceso a la sombra en Core Systems Git es la columna vertebral del desarrollo moderno de software, alojando millones de repositorios y atendiendo a miles de organizaciones en todo el mundo. Sin embargo, en medio del ajetreo diario del código de envío, los desarrolladores pueden dejar sin darse cuenta las claves API, los tokens o las contraseñas en los archivos de configuración y los archivos de código, entregando efectivamente a los atacantes las claves del reino. Esto no se trata solo de pobre higiene; Es un riesgo sistémico y creciente de la cadena de suministro. A medida que las amenazas cibernéticas se vuelven más sofisticadas, también lo hacen los requisitos de cumplimiento. Los marcos de seguridad como NIS2, SOC2 e ISO 27001 ahora exigen pruebas de que las tuberías de entrega de software se endurecen y se controlan el riesgo de terceros. El mensaje es claro: asegurar sus repositorios Git ya no es opcional, es esencial. A continuación, observamos el perfil de riesgo de credenciales y secretos expuestos en repositorios de código público y privado, cómo se ha utilizado este vector de ataque en el pasado y qué puede hacer para minimizar su exposición. El paisaje de amenazas de repo GIT El paisaje de amenazas que rodea los repositorios de GIT se está expandiendo rápidamente, impulsada por una serie de causas: la creciente complejidad de las prácticas de DevOps, la dependencia generalizada de la dependencia de las plataformas de control de versiones públicas como el error humano de Github y todas las configuraciones erróneas que implican: desde los controles de acceso mal aplicados hasta los entornos de prueba olvidados de la producción, no es una sorpresa, ya que el desarrollo de los velocidad de los velocidad aumenta, lo que hace las oportunidades de los ataques de desarrollo, lo que aumenta las oportunidades de los ataques para el desarrollo de las oportunidades de desarrollo, lo que aumenta las oportunidades para el desarrollo de los ataques de desarrollo. Repositorios de código expuesto. Solo Github informó más de 39 millones de secretos filtrados en 2024, un aumento del 67% respecto al año anterior. Estos incluían credenciales de nubes, tokens API y claves SSH. La mayoría de estas exposiciones se originan en: cuentas de desarrolladores personales abandonados o bifurcados proyectos mal conformados o repositorios no auditados para atacantes, estos no son solo errores, son puntos de entrada. Los repos de git expuestos ofrecen una vía directa de baja fricción en sistemas internos y entornos de desarrolladores. Lo que comienza como una pequeña supervisión puede convertirse en un compromiso completo, a menudo sin activar ninguna alerta. ¿Cómo aprovechan los atacantes los repositorios de GIT expuestos? Las herramientas y escáneres públicos hacen que sea trivial cosechar secretos de repositorios de GIT expuestos, y los atacantes saben cómo girar rápidamente del código expuesto a la infraestructura comprometida. Una vez dentro de un repositorio, los atacantes buscan: secretos y credenciales: claves API, tokens de autenticación y contraseñas. A menudo oculto a simple vista dentro de los archivos de configuración o el historial de confirmación. Infraestructura Intel: detalles sobre sistemas internos como nombres de host, IP, puertos o diagramas arquitectónicas. Lógica de negocios: código fuente que puede revelar vulnerabilidades en la autenticación, el manejo de la sesión o el acceso a la API. Estas ideas se arman luego para: Acceso inicial: los atacantes usan credenciales válidas para autenticarse en: Entornos en la nube: por ejemplo, roles de AWS IAM a través de claves de acceso expuesto, bases de datos de principios de servicio de Azure – EG, MongoDB, PostgreSQL, MySQL usando Strings Harded Connected Straings SaaS Platforms – Aprovechando API tokens encontrados en los archivos de configuración o Historial de comisión de comandantes: Historial de compromiso: Historial de compromiso: Historial de compromisos: Historial de ataques de Connectores: Enumerating internal APIs using exposed OpenAPI/Swagger specs Accessing CI/CD pipelines using leaked tokens from GitHub Actions, GitLab CI, or Jenkins Using misconfigured permissions to move across internal services or cloud accounts Persistence and exfiltration: To maintain access and extract data over time, they: Create new IAM users or SSH keys to stay embedded Deploy malicious Lambda functions or Los contenedores para combinar con las cargas de trabajo normales exfiltran los datos de los cubos S3, el almacenamiento de blob de Azure o las plataformas de registro como CloudWatch y Log Analytics, una única clave AWS filtrada puede exponer una huella de la nube completa. Un archivo .git/config o compromiso olvidado aún puede contener credenciales en vivo. Estas exposiciones a menudo omiten las defensas perimetrales tradicionales por completo. Hemos visto a los atacantes girar desde repositorios de GIT expuestos → a las computadoras portátiles de desarrolladores → a redes internas. Esta amenaza no es teórica, es una cadena de matar que hemos validado en entornos de producción en vivo usando Pentera. Las estrategias de mitigación recomendadas que reducen el riesgo de exposición comienzan con lo básico. Si bien ningún control único puede eliminar los ataques basados en GIT, las siguientes prácticas ayudan a reducir la probabilidad de que los secretos se filtren y limiten el impacto cuando lo hacen. 1. Secretos de la tienda de gestión de la tienda fuera de su base de código utilizando soluciones de gestión secreta dedicadas como Hashicorp Vault (código abierto), AWS Secrets Manager o Azure Key Vault. Estas herramientas proporcionan almacenamiento seguro, control de acceso de grano fino y registro de auditorías. Evite los secretos de codificación dura en los archivos de origen o los archivos de configuración. En su lugar, inyecte secretos en tiempo de ejecución a través de variables de entorno o API seguras. Automatice la rotación secreta para reducir la ventana de exposición. 2. Code Hygiene aplica las políticas estrictas .Gitignore para excluir archivos que pueden contener información confidencial, como .env, config.yaml o credencials.json. Integre herramientas de escaneo como Gitleaks, Talisman y Git-Secrets en flujos de trabajo de desarrolladores y tuberías de CI/CD para atrapar secretos antes de que se comprometan. 3. Los controles de acceso hacen cumplir el principio de menor privilegio en todos los repositorios de GIT. Los desarrolladores, herramientas de CI/CD e integraciones de terceros solo deben tener el acceso que necesitan, ya no. Use tokens de corta duración o credenciales limitados en el tiempo siempre que sea posible. Haga cumplir la autenticación multifactor (MFA) y el inicio de sesión único (SSO) en las plataformas GIT. Auditar regularmente los registros de acceso al usuario y la máquina para identificar privilegios excesivos o comportamientos sospechosos. Encuentre los datos de GIT expuestos antes de que los atacantes hagan los repositorios de GIT expuestos no son un riesgo en el borde, sino un vector de ataque convencional, especialmente en entornos de DevOps de movimiento rápido. Si bien los escáneres secretos y las prácticas de higiene son esenciales, a menudo no tienen la imagen completa. Los atacantes no solo leen tu código; Lo están usando como un mapa para caminar directamente a su infraestructura. Sin embargo, incluso los equipos que usan las mejores prácticas se quedan ciegos a una pregunta crítica: ¿podría un atacante usar esta exposición para entrar? Asegurar sus repositorios requiere más que solo controles estáticos. Pide validación continua, remediación proactiva y mentalidad de un adversario. A medida que el cumplimiento exige que las superficies de ataque se expandan, las organizaciones deben tratar la exposición del código como una parte central de su estrategia de seguridad y no como una ocurrencia tardía. Para obtener más información sobre cómo su equipo puede hacer esto, unirse al seminario web, están fuera para GIT el 23 de julio de 2025 ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

 14 de junio de 2025Ravie Lakshmanananmobile Seguridad / vulnerabilidad Los investigadores de ciberseguridad han descubierto una nueva técnica de piratería que explota las debilidades en la tecnología ESIM utilizada en los teléfonos inteligentes modernos, exponiendo a los usuarios a riesgos severos. Los problemas afectan la tarjeta Kigen EUICC. Según el sitio web de la compañía irlandesa, más de dos mil millones de sims en dispositivos IoT han sido habilitados a partir de diciembre de 2020. Los hallazgos provienen de Security Explorations, un laboratorio de investigación de AG Security Research Company. Kigen otorgó a la compañía una recompensa de $ 30,000 por su informe. Un ESIM, o SIM incrustado, es una tarjeta SIM digital que está integrada directamente en un dispositivo como software instalado en un chip de la tarjeta de circuito integrado Universal (EUICC) integrado. ESIMS permite a los usuarios activar un plan celular desde un portador sin la necesidad de una tarjeta SIM física. El software EUICC ofrece la capacidad de cambiar los perfiles de operadores, el aprovisionamiento remoto y la gestión de los perfiles SIM. «La tarjeta EUICC hace posible instalar los llamados perfiles ESIM en el chip de destino», dijo Security Explorations. «Los perfiles ESIM son representaciones de software de suscripciones móviles». Según un aviso publicado por Kigen, la vulnerabilidad se basa en el perfil de prueba genérico GSMA Ts.48, versiones 6.0 y anteriores, que se dice que se utiliza en productos ESIM para pruebas de cumplimiento de radio. Específicamente, la deficiencia permite la instalación de applets no verificados y potencialmente maliciosos. GSMA TS.48 V7.0, lanzado el mes pasado, mitiga el problema restringiendo el uso del perfil de prueba. Todas las demás versiones de la especificación TS.48 se han desaprobado. «La explotación exitosa requiere una combinación de condiciones específicas. Un atacante primero debe obtener acceso físico a un EUICC objetivo y usar claves conocidas públicamente», dijo Kigen. «Esto permite al atacante instalar un applet malicioso de Javacard». Además, la vulnerabilidad podría facilitar la extracción del certificado de identidad Kigen EUICC, lo que permite descargar perfiles arbitrarios de los operadores de redes móviles (MNO) en ClearText, Access MNO Secrets y tambalearse con perfiles y ponerlos en una EUICC arbitraria sin ser marcado por MNO. Security Explorations dijo que los hallazgos se basan en su propia investigación previa de 2019, que encontró múltiples vulnerabilidades de seguridad en la tarjeta Oracle Java que podría allanar el camino para el despliegue de una puerta trasera persistente en la tarjeta. Uno de los defectos también impactó a Gemalto Sim, que depende de la tecnología de tarjetas Java. Estos defectos de seguridad se pueden explotar para «romper la seguridad de la memoria de la tarjeta Java VM subyacente» y obtener acceso completo a la memoria de la tarjeta, romper el firewall de applet y potencialmente incluso lograr la ejecución del código nativo. Sin embargo, Oracle minimizó el impacto potencial e indicó que las «preocupaciones de seguridad» no afectaron su producción de Java Card VM. Las exploraciones de seguridad dijeron que estas «preocupaciones» ahora se han demostrado que son «errores reales». Los ataques pueden sonar prohibitivos para ejecutar, pero, por el contrario, están al alcance de los grupos capaces de estado-nación. Podrían permitir a los atacantes comprometer una tarjeta ESIM y desplegar una puerta trasera sigilosa, interceptando efectivamente todas las comunicaciones. «El perfil descargado se puede modificar potencialmente de tal manera, de modo que el operador pierde el control sobre el perfil (ninguna capacidad de control remoto / ninguna capacidad de deshabilitarlo / invalidarlo, etc.), el operador puede proporcionar una vista completamente falsa del estado del perfil o toda su actividad puede estar sujeta a monitoreo», agregó la compañía. «En nuestra opinión, la capacidad de un solo robo de certificado EUICC / EUICC GSMA de EUICC solo para mirar (descargar en texto sin formato) ESIM de MNO arbitraria constituye un significativo punto débil de la arquitectura ESIM». ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

 Jul 11, 2025Ravie Lakshmanancer Attack / Vulnerabilidad Una falla de seguridad de máxima severidad revelada recientemente que impactó que el servidor FTP del ala se haya explotado activamente en la naturaleza, según Huntress. La vulnerabilidad, rastreada como CVE-2025-47812 (puntaje CVSS: 10.0), es un caso de manejo inadecuado de bytes nulos (‘\ 0’) en la interfaz web del servidor, que permite la ejecución de código remoto. Se ha abordado en la versión 7.4.4. «El usuario y la web administradora interfaces Mishandle ‘\ 0’ bytes, en última instancia, permitiendo la inyección de código LUA arbitrario en archivos de sesión de usuario», según un aviso para el defecto en cve.org. «Esto se puede utilizar para ejecutar comandos de sistema arbitrarios con los privilegios del servicio FTP (root o sistema de forma predeterminada)». Lo que lo hace aún más preocupante es que la falla se puede explotar a través de cuentas FTP anónimas. Un desglose integral de la vulnerabilidad ingresó al dominio público hacia fines de junio de 2025, cortesía del investigador de seguridad de RCE Julien Ahrens. La compañía de ciberseguridad Huntress dijo que observaba a los actores de amenaza que explotaban la falla para descargar y ejecutar archivos maliciosos de Lua, realizar reconocimientos e instalar software de monitoreo y gestión remota. «CVE-2025-47812 se deriva de cómo se manejan los bytes nulos en el parámetro de nombre de usuario (específicamente relacionado con el archivo Loginok.html, que maneja el proceso de autenticación)», dijeron los investigadores de Huntress. «Esto puede permitir a los atacantes remotos realizar la inyección de LUA después de usar el byte nulo en el parámetro de nombre de usuario». «Al aprovechar la inyección de byte nulo, el adversario interrumpe la entrada anticipada en el archivo LUA que almacena estas características de la sesión». La evidencia de explotación activa se observó por primera vez contra un solo cliente el 1 de julio de 2025, simplemente un día después de que se revelaron los detalles de la exploit. Al obtener acceso, se dice que los actores de amenaza han ejecutado comandos de enumeración y reconocimiento, crearon nuevos usuarios como una forma de persistencia y eliminaron los archivos LUA para soltar un instalador para Screenconnect. No hay evidencia de que el software de escritorio remoto se haya instalado realmente, ya que el ataque se detectó y se detuvo antes de que pudiera progresar más. Actualmente no está claro quién está detrás de la actividad. Los datos de Censys muestran que hay 8,103 dispositivos públicos accesibles que ejecutan un servidor FTP de ala, de los cuales 5.004 tienen su interfaz web expuesta. La mayoría de las instancias se encuentran en los Estados Unidos, China, Alemania, el Reino Unido e India. A la luz de la explotación activa, es esencial que los usuarios se muevan rápidamente para aplicar los últimos parches y actualizar sus versiones de servidor FTP Wing de 7.4.4 o posterior. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los investigadores de seguridad cibernética han descubierto un grave problema de seguridad que permite que Laravel App_Keys filtró que se armen para obtener capacidades de ejecución de código remoto en cientos de aplicaciones. «La App_Key de Laravel, esencial para encriptar datos confidenciales, a menudo se filtra públicamente (por ejemplo, en Github)», dijo Gitguardian. «Si los atacantes obtienen acceso a esta clave, pueden explotar una falla de deserialización para ejecutar código arbitrario en el servidor, poniendo en riesgo los datos y la infraestructura». La compañía, en colaboración con SynackTiv, dijo que fue capaz de extraer más de 260,000 App_Keys de Github desde 2018 hasta el 30 de mayo de 2025, identificando más de 600 aplicaciones de Laravel vulnerables en el proceso. Gitguardian dijo que observó más de 10,000 Keyas únicos en Github, de los cuales 400 App_Keys fueron validados como funcionales. APP_Key es una clave de cifrado aleatoria de 32 bytes que se genera durante la instalación de Laravel. Almacenado en el archivo .env de la aplicación, se usa para cifrar y descifrar datos, generar cadenas seguras y aleatorias, firmar y verificar datos, y crear tokens de autenticación únicos, haciendo un componente de seguridad crucial. Gitguardian señaló que la implementación actual de Laravel de la función Decrypt () introduce un problema de seguridad en el que se deserializa automáticamente los datos descifrados, abriendo así la puerta para una posible ejecución del código remoto. «Específicamente en las aplicaciones de Laravel, si los atacantes obtienen la APP_Key y pueden invocar la función Decrypt () con una carga útil maliciosa, pueden lograr la ejecución de código remoto en el servidor web de Laravel», dijo la investigadora de seguridad Guillaume Valadon. «Esta vulnerabilidad se documentó por primera vez con CVE-2018-15133, que afectó las versiones de Laravel antes de 5.6.30. Sin embargo, este vector de ataque persiste en versiones más nuevas de Laravel cuando los desarrolladores configuran explícitamente la serialización de la sesión en cookies utilizando la configuración de cookies session_driver = cookies, como lo demuestra CVE-2024-5556». Vale la pena señalar que CVE-2018-15133 ha sido explotado en la naturaleza por los actores de amenaza asociados con el malware Androxgh0st, después de escanear Internet para aplicaciones de Laravel con archivos .env mal configurados. Un análisis posterior ha encontrado que el 63% de las exposiciones de APP_Key se originan a partir de archivos .env (o sus variantes) que generalmente contienen otros secretos valiosos, como tokens de almacenamiento en la nube, credenciales de bases de datos y secretos asociados con plataformas de comercio electrónico, herramientas de atención al cliente y servicios de inteligencia artificial (AI). Más importante aún, aproximadamente 28,000 pares APP_KEY y APP_URL se han expuesto simultáneamente a GitHub. De estos, se ha encontrado que aproximadamente el 10% es válido, lo que hace que 120 aplicaciones vulnerables a los ataques de ejecución de código remoto trivial. Dado que la configuración de APP_URL especifica la URL base de la aplicación, exponer tanto APP_URL como APP_KEY crea un potente vector de ataque que los actores de amenaza pueden aprovechar para acceder directamente a la aplicación, recuperar cookies de sesión e intentar descifrarlos utilizando la clave expuesta. Lo que los desarrolladores necesitan es una ruta de rotación clara, respaldada por el monitoreo que marca cada reaparición futura de cadenas sensibles a través de registros de CI, compilaciones de imágenes y capas de contenedores. «Los desarrolladores nunca deberían simplemente eliminar las aplicaciones expuestas de los repositorios sin la rotación adecuada», dijo Gitguardian. «La respuesta adecuada implica: girar inmediatamente la APP_Key comprometida, actualizar todos los sistemas de producción con la nueva clave e implementar un monitoreo secreto continuo para evitar futuras exposiciones». Este tipo de incidentes también se alinean con una clase más amplia de vulnerabilidades de deserialización de PHP, como PHPGGC ayudan a los cadenas de dispositivos PHPGGC que desencadenan comportamientos no intencionados durante la carga de objetos. Cuando se usa en entornos de Laravel con claves filtradas, dichos dispositivos pueden lograr RCE completo sin necesidad de violar la lógica o las rutas de la aplicación. La divulgación se produce después de que Gitguardian reveló que descubrió un «asombroso 100,000 secretos válidos» en imágenes de Docker accesibles públicamente en el registro de Dockerhub. Esto incluye secretos asociados con Amazon Web Services (AWS), Google Cloud y GitHub Tokens. Un nuevo análisis binarly de más de 80,000 imágenes de Docker únicas que abarcan 54 organizaciones y 3,539 repositorios también han descubierto 644 secretos únicos que abarcaron credenciales genéricas, tokens web JSON, encabezado de autorización básica de HTTP, Key de Google Cloud API Key, AWS Access Tokens Tokens API API, entre otros. «Los secretos aparecen en una amplia variedad de tipos de archivos, que incluyen código fuente, archivos de configuración e incluso archivos binarios grandes, áreas donde muchos escáneres existentes se quedan cortos», dijo la compañía. «Además, la presencia de repositorios de Git enteros dentro de las imágenes de contenedores representa un riesgo de seguridad grave y a menudo pasado por alto». Pero eso no es todo. La rápida adopción del Protocolo de contexto del modelo (MCP) para permitir flujos de trabajo de agente en aplicaciones de IA impulsadas por la empresa ha abierto vectores de ataque nuevos, una preocupación por ser la fuga de secretos de los servidores MCP publicados hasta repositorios de GitHub. Específicamente, Gitguardian descubrió que 202 de ellos filtraron al menos un secreto, que representa el 5.2% de todos los repositorios, un número que la compañía dijo que es «un poco más alto que la tasa de ocurrencia del 4.6% observada en todos los repositorios públicos,» los servidores de MCP son una «nueva fuente de fuentes secretas». Mientras esta investigación se enfoca en Laravel, el mismo problema, el mismo problema, los segurales en el público en el público en el público en los Servidores públicos – pilas. Las organizaciones deben explorar escaneo secreto centralizado, guías de endurecimiento específicas de Laravel y patrones seguros por diseño para administrar archivos .env y secretos de contenedores en los marcos. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Jul 12, 2025Rravie Lakshmananai Seguridad / vulnerabilidad NVIDIA insta a los clientes a habilitar los códigos de corrección de errores a nivel de sistema (ECC) como una defensa contra una variante de un ataque de Rowhammer demostrado contra sus unidades de procesamiento de gráficos (GPU). «El riesgo de explotación exitosa de los ataques de Rowhammer varía según el dispositivo DRAM, la plataforma, la especificación de diseño y la configuración del sistema», dijo el fabricante de GPU en un aviso publicado esta semana. GPUHammer denominado, los ataques marcan el primer exploit de Rowhammer demostrado contra las GPU de NVIDIA (por ejemplo, NVIDIA A6000 GPU con memoria GDDR6), lo que hace que los usuarios de GPU maliciosos se tambaleen con los datos de otros usuarios al activar las flujos de bits en la memoria GPU. La consecuencia más preocupante de este comportamiento, encontraron los investigadores de la Universidad de Toronto, es la degradación de la precisión del modelo de inteligencia artificial (IA) del 80% a menos del 1%. Rowhammer es a los dramas modernos como Spectre y Meltdown son las CPU contemporáneas. Si bien ambos son vulnerabilidades de seguridad a nivel de hardware, Rowhammer se dirige al comportamiento físico de la memoria DRAM, mientras que Spectre explota la ejecución especulativa en las CPU. Rowhammer provoca volteos de broca en las células de memoria cercanas debido a la interferencia eléctrica en DRAM derivada del acceso a la memoria repetida, mientras que Spectre y Meltdown permiten a los atacantes obtener información privilegiada de la memoria a través de un ataque de canal lateral, con una fuga potencialmente con datos confidenciales. En 2022, los académicos de la Universidad de Michigan y Georgia Tech describieron una técnica llamada Spechammer que combina Rowhammer y Spectre para lanzar ataques especulativos. El enfoque esencialmente implica desencadenar un ataque Spectre V1 utilizando flotas de bits de Rowhammer para insertar valores maliciosos en dispositivos de víctimas. Gpuhammer es la última variante de Rowhammer, pero que es capaz de inducir volteos de bits en las GPU de NVIDIA a pesar de la presencia de mitigaciones como la tasa de actualización objetivo (TRR). En una prueba de concepto desarrollada por los investigadores, el uso de un volteo de un solo bit para manipular con los modelos de la red neuronal profunda (DNN) de una víctima puede degradar la precisión del modelo de 80% a 0.1%. Las hazañas como GPUHammer amenazan la integridad de los modelos de IA, que dependen cada vez más de GPU para realizar un procesamiento paralelo y llevan a cabo tareas computacionalmente exigentes, sin mencionar que se abre una nueva superficie de ataque para las plataformas de nubes. Para mitigar el riesgo planteado por GPUHammer, se recomienda habilitar ECC a través de «NVIDIA -SMI -E 1.» Las GPU NVIDIA más nuevas como H100 o RTX 5090 no se ven afectadas debido a que con ECC en la muerte, lo que ayuda a detectar y corregir errores surgidos debido a las fluctuaciones de voltaje asociadas con chips de memoria más pequeños y más densos. «Habilitar los códigos de corrección de errores (ECC) puede mitigar este riesgo, pero el ECC puede introducir hasta una desaceleración del 10% para [machine learning] Las cargas de trabajo de inferencia en una GPU A6000, «Chris (Shaopeng) Lin, Joyce Qu y Gururaj Saileshwar, los autores principales del estudio, dicen, y agregó que también reduce la capacidad de la memoria en un 6.25%. La divulgación viene cuando los investigadores de los laboratorios de Información Social de NTT y el Centro de Centro de Crowcammer Attathammer Attathammer Attathammer Attle Attathmer Attle Attathmer Attle Attathmer Attle Attathmer At Attack. Esquema de firma posterior al quantum, que ha sido seleccionado por NIST para la estandarización. [reverse cumulative distribution table] Para activar un número muy pequeño de volteos de bits específicos y demostrar que la distribución resultante es suficientemente sesgada como para realizar un ataque de recuperación clave «, dijo el estudio.» Mostramos que un solo flip de bits dirigido es suficiente para recuperar completamente la clave de firma, dada unos pocos cientos de firmas, con más flips de bits que reciben una recuperación clave con menos listas.

 Jul 11, 2025  La seguridad del Hacker NewsData Security / Enterprise El informe de riesgo de datos 2025: las empresas enfrentan riesgos de pérdida de datos potencialmente graves de herramientas alimentadas con AI. La adopción de un enfoque unificado y impulsado por la IA para la seguridad de los datos puede ayudar. A medida que las empresas dependen cada vez más de plataformas basadas en la nube y herramientas con IA para acelerar la transformación digital, las apuestas para salvaguardar los datos empresariales confidenciales han alcanzado niveles sin precedentes. El informe de riesgo de datos Zscaler Threatlabz 2025 revela cómo los paisajes tecnológicos evolutivos están amplificando las vulnerabilidades, destacando la necesidad crítica de un enfoque proactivo y unificado para la protección de datos. Basándose en ideas de más de 1.200 millones de transacciones bloqueadas registradas por el intercambio de confianza Zscaler Zero entre febrero y diciembre de 2024, el informe de este año pinta una imagen clara de los desafíos de seguridad de datos que enfrentan las empresas. Desde el aumento de la fuga de datos a través de herramientas generativas de IA hasta los riesgos no disminuidos derivados de el correo electrónico, las aplicaciones SaaS y los servicios de intercambio de archivos, los hallazgos son reveladores y urgentes. El informe de riesgo de datos de 2025 arroja luz sobre los riesgos de seguridad de datos multifacéticos que enfrentan las empresas en el mundo habilitado digitalmente actual. Algunas de las tendencias más notables incluyen: las aplicaciones de IA son un vector de pérdida de datos importante: las herramientas de IA como ChatGPT y Microsoft Copilot contribuyeron a millones de incidentes de pérdida de datos en 2024, particularmente los números de seguridad social. La pérdida de datos SaaS está aumentando: abarcando más de 3.000 aplicaciones SaaS, las empresas vieron más de 872 millones de violaciones de pérdida de datos. El correo electrónico sigue siendo una fuente líder de pérdida de datos: casi 104 millones de transacciones filtraron miles de millones de instancias de datos confidenciales. Spikes de pérdida de datos para compartir archivos: entre las aplicaciones más populares para compartir archivos, 212 millones de transacciones vieron incidentes de pérdida de datos. Nunca ha habido un momento más crítico para repensar el enfoque de su empresa a la seguridad de los datos. El informe de riesgo de datos de amenazas de 2025 ofrece una visión integral de dónde se encuentran los riesgos, qué los impulsa y cómo las organizaciones pueden responder de manera efectiva para asegurar sus datos confidenciales en el ecosistema de AI que evolucionan rápidamente en la actualidad actual. Para obtener más información sobre Zscaler Zero Trust Architecture y Zero Trust + AI, visite zscaler.com/security. Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El 11 de junio de 2025Ravie Lakshmananunited States Fortinet ha lanzado soluciones para una falla de seguridad crítica que impacta FortiWeb que podría permitir a un atacante no autenticado ejecutar comandos de base de datos arbitrarios en instancias susceptibles. Seguimiento como CVE-2025-25257, la vulnerabilidad conlleva una puntuación CVSS de 9.6 de un máximo de 10.0. «Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL (‘inyección sql’) [CWE-89] En FortiWeb puede permitir que un atacante no autenticado ejecute el código o comandos SQL no autorizados a través de solicitudes HTTP o HTTPS no autorizadas a través de solicitudes HTTP o HTTPS no autorizadas, dijo en un asesoramiento publicado esta semana. La deficiencia impacta las siguientes versiones: FortiWeb 7.6.0 a 7.6.3 (actualización a 7.6.4 o más) FortiWeb 7.4.0 a 7.4.4.7 (mejoras a 7. 7.2.0 through 7.2.10 (Upgrade to 7.2.11 or above) FortiWeb 7.0.0 through 7.0.10 (Upgrade to 7.0.11 or above) Kentaro Kawane from GMO Cybersecurity, who was recently credited with reporting a set of critical flaws in Cisco Identity Services and ISE Passive Identity Connector (CVE-2025-20286, CVE-2025-20281, and CVE-2025-20282) ha sido reconocido por descubrir el problema. Desde tres puntos finales de API diferentes: «/API/Fabric/Device/Status,» «/API/V[0-9]/tela/widget/[a-z]+, «y»/API/V[0-9]/Fabric/Widget. «El problema es que la entrada controlada por el atacante, aprobada a través de un encabezado de autorización de token de portador en una solicitud HTTP especialmente elaborada, se pasa directamente a una base de datos de SQL de la consulta de la base de datos sin una sanitización adecuada para asegurarse de que no sea perjudicial y no incluya ningún código malicioso. Sistema operativo al aprovechar el hecho de que la consulta se ejecuta como el usuario «MySQL» «. Los fallas en los dispositivos Fortinet han sido explotados por los actores de amenaza en el pasado, es esencial que los usuarios se muevan rápidamente para actualizar la última versión para mitigar los riesgos potenciales.

Los investigadores de ciberseguridad han descubierto un conjunto de cuatro fallas de seguridad en la pila Bluetooth de Bluesdk de OpenSynergy que, si se explotan con éxito, podría permitir la ejecución remota del código en millones de vehículos de transporte de diferentes proveedores. Las vulnerabilidades, denominadas PerfektBlue, pueden diseñarse juntas como una cadena de exploit para ejecutar un código arbitrario en automóviles de al menos tres fabricantes de automóviles principales, Mercedes-Benz, Volkswagen y Skoda, según PCA Cyber ​​Security (anteriormente PCAUTOMOTIVE). Fuera de estos tres, se ha confirmado que un cuarto fabricante de equipos original no identificado (OEM) se ve afectado. «El ataque de explotación de PerfektBlue es un conjunto de corrupción de memoria crítica y vulnerabilidades lógicas que se encuentran en la pila de bluesdk bluesdk de OpenSynergy que se pueden encadenar para obtener la ejecución de código remoto (RCE)», dijo la compañía de seguridad cibernética. En algunos casos, el aislamiento débil permite a los atacantes usar el acceso IVI como trampolín en zonas más sensibles, especialmente si el sistema carece de aplicación de la puerta de enlace o protocolos de comunicación seguros. El único requisito para lograr el ataque es que el mal actor debe estar dentro del alcance y poder combinar su configuración con el sistema de información y entretenimiento del vehículo objetivo sobre Bluetooth. Esencialmente equivale a un ataque de un solo clic para desencadenar la explotación por aire. «Sin embargo, esta limitación es específica de la implementación debido a la naturaleza marco de BluesDK», agregó PCA Cyber ​​Security. «Por lo tanto, el proceso de emparejamiento puede verse diferente entre varios dispositivos: el número limitado/ilimitado de solicitudes de emparejamiento, la presencia/ausencia de interacción del usuario o emparejamiento podría deshabilitarse por completo». La lista de vulnerabilidades identificadas es la siguiente: CVE-2024-45434 (puntaje CVSS: 8.0)-Uso-después de la transmisión en el servicio AVRCP CVE-2024-45431 (puntaje CVSS: 3.5)-Validación incorrecta de una función de CVE-2024-45433 de CVSS de un canal L2CAP: RFCOMM CVE-2024-45432 (puntuación CVSS: 5.7): la llamada de función con el parámetro incorrecto en RFComm obteniendo correctamente la ejecución del código en el sistema de información y entretenimiento en el vehículo (IVI) permite que un atacante rastree las coordinadas GPS, registrara audio, las listas de contactos de acceso e incluso realizar el movimiento posterior a otros sistemas y potencialmente tomar el control de el control de la crítica de los coordinados de GPS, al mismo tiempo, al mismo tiempo. Después de la divulgación responsable en mayo de 2024, los parches se implementaron en septiembre de 2024. «Perfektblue permite que un atacante lograr la ejecución de código remoto en un dispositivo vulnerable», dijo PCA Cyber ​​Security. «Considérelo como un punto de entrada al sistema objetivo que es crítico. Hablando de vehículos, es un sistema IVI. El movimiento lateral adicional dentro de un vehículo depende de su arquitectura y podría implicar vulnerabilidades adicionales». A principios de abril, la compañía presentó una serie de vulnerabilidades que podrían explotarse para dividirse de forma remota en un vehículo eléctrico Nissan Leaf y tomar el control de las funciones críticas. Los hallazgos se presentaron en la conferencia Black Hat Asia celebrada en Singapur. «Nuestro enfoque comenzó explotando las debilidades en Bluetooth para infiltrarse en la red interna, seguido de omitir el proceso de arranque seguro para aumentar el acceso», dijo. «Establecer un canal de comando y control (C2) sobre DNS nos permitió mantener un vínculo encubierto y persistente con el vehículo, que permite un control remoto completo. Al comprometer una CPU de comunicación independiente, podríamos interactuar directamente con el bus de lata, que gobierna elementos críticos del cuerpo, incluidos espejos, limpiadores, bloqueos de puerta e incluso la dirección». CAN, abreviatura de la red de área del controlador, es un protocolo de comunicación utilizado principalmente en vehículos y sistemas industriales para facilitar la comunicación entre múltiples unidades de control electrónico (ECU). Si un atacante con acceso físico al automóvil puede aprovecharlo, el escenario abre la puerta para ataques de inyección y suplantación de dispositivos de confianza. «Un ejemplo notorio involucra un pequeño dispositivo electrónico escondido dentro de un objeto inocuo (como un altavoz portátil)», dijo la compañía húngara. «Los ladrones enchufan este dispositivo a una unión de cableado de lata expuesta en el automóvil». «Una vez conectado al autobús CAN del automóvil, el dispositivo Rogue imita los mensajes de una ECU autorizada. Inunda el autobús con una explosión de mensajes de lata que declara ‘una clave válida está presente’ o instruye a acciones específicas como desbloquear las puertas». En un informe publicado a fines del mes pasado, Pen Test Partners reveló que convirtió un Renault Clio 2016 en un controlador de Mario Kart al interceptar los datos de Can Bus para obtener el control del automóvil y mapear su dirección, freno y acelerador a un controlador de juego con sede en Python. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

 10 de junio de 2025Ravie Lakshmananvulnerabilidad / AI Seguridad Los investigadores de seguridad cibernética han descubierto una vulnerabilidad crítica en el proyecto remoto de MCP de código abierto que podría resultar en la ejecución de comandos de sistema operativo arbitrario (OS). La vulnerabilidad, rastreada como CVE-2025-6514, tiene una puntuación CVSS de 9.6 de 10.0. «La vulnerabilidad permite a los atacantes activar la ejecución arbitraria del comando del sistema operativo en la máquina que ejecuta MCP-Remote cuando inicia una conexión con un servidor MCP no confiable, lo que representa un riesgo significativo para los usuarios: un compromiso completo del sistema», o Peles, JFrog Vulnerability Investigation Leader. MCP-Remote es una herramienta que surgió después de la liberación de Anthrope del Protocolo de contexto del modelo (MCP), un marco de código abierto que estandariza la forma en que las aplicaciones del Modelo de lenguaje grande (LLM) integran y comparten datos con fuentes y servicios de datos externas. Actúa como un proxy local, lo que permite a los clientes de MCP como Claude Desktop comunicarse con servidores MCP remotos, en lugar de ejecutarlos localmente en la misma máquina que la aplicación LLM. El paquete NPM se ha descargado más de 437,000 veces hasta la fecha. La vulnerabilidad afecta las versiones remotas de MCP de 0.0.5 a 0.1.15. Se ha abordado en la versión 0.1.16 lanzado el 17 de junio de 2025. Cualquiera que use MCP-Remote que se conecta a un servidor MCP no confiable o inseguro que usa una versión afectada está en riesgo. «Si bien la investigación publicada anteriormente ha demostrado riesgos de los clientes de MCP que se conectan con los servidores MCP maliciosos, esta es la primera vez que se logra la ejecución de código remoto completo en un escenario del mundo real en el sistema operativo del cliente cuando se conecta a un servidor MCP remoto no confiable», dijo Peles. La deficiencia tiene que ver con cómo un servidor MCP malicioso operado por un actor de amenaza podría incorporar un comando durante la fase de establecimiento y autorización de comunicación inicial, que, cuando se procesa por MCP-Remote, hace que se ejecute en el sistema operativo subyacente. Mientras que el problema conduce a la ejecución arbitraria del comando del sistema operativo en Windows con control de parámetros completo, da como resultado la ejecución de ejecutables arbitrarios con control de parámetros limitado en los sistemas MACOS y Linux. Para mitigar el riesgo planteado por la falla, se aconseja a los usuarios que actualicen la biblioteca a la última versión y solo se conecten a servidores MCP de confianza a través de HTTPS. «Si bien los servidores MCP remotos son herramientas altamente efectivas para expandir las capacidades de IA en entornos administrados, facilitar la rápida iteración de código y ayudar a garantizar una entrega más confiable de software, los usuarios de MCP deben tener en cuenta solo conectarse a servidores MCP confiables utilizando métodos de conexión seguros como HTTPS», dijo Peles. «De lo contrario, es probable que vulnerabilidades como CVE-2025-6514 secuestren a los clientes de MCP en el ecosistema de MCP cada vez mayor». La divulgación se produce después de que Oligo Security detalló una vulnerabilidad crítica en la herramienta MCP Inspector (CVE-2025-49596, puntaje CVSS: 9.4) que podría allanar el camino para la ejecución de código remoto. A principios de este mes, otros dos defectos de seguridad de alta severidad se descubrieron en el servidor MCP del sistema de archivos de Anthrope, que, si se explotan con éxito, podrían permitir que los atacantes salgan de la caja de arena del servidor, manipulen cualquier archivo en el host y logren la ejecución del código. The two flaws, per Cymulate, are listed below – CVE-2025-53110 (CVSS score: 7.3) – A directory containment bypass that makes it possible to access, read, or write outside of the approved directory (eg, «/private/tmp/allowed_dir») by using the allowed directory prefix on other directories (eg, «/private/tmp/allow_dir_sensitive_credentials»), thereby opening the door data theft and possible privilege escalation CVE-2025-53109 (CVSS score: 8.4) – A symbolic link (aka symlink) bypass stemming from poor error handling that can be used to point to any file on the file system from within the allowed directory, allowing an attacker to read or alter critical files (por ejemplo, «/etc/sudoers») o soltar código malicioso, lo que resulta en la ejecución del código mediante el uso de agentes de lanzamiento, trabajos cron u otras técnicas de persistencia ambas deficiencias afectan todas las versiones del servidor MCP del sistema de archivos antes de 0.6.3 y 2025.7.1, que incluyen las soluciones relevantes. «Esta vulnerabilidad es una violación grave del modelo de seguridad de los servidores MCP del sistema de archivos», dijo el investigador de seguridad Elad Beber sobre CVE-2025-53110. «Los atacantes pueden obtener acceso no autorizado al listar, leer o escribir en directorios fuera del alcance permitido, lo que puede exponer archivos confidenciales como credenciales o configuraciones». «Peor aún, en las configuraciones donde el servidor se ejecuta como un usuario privilegiado, este defecto podría conducir a una escalada de privilegios, permitiendo a los atacantes manipular archivos críticos del sistema y obtener un control más profundo sobre el sistema de host». ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.