Todo lo que necesitas saber sobre tecnología

Etiqueta: vulnerabilidad de software Página 1 de 17

Fallas críticas en CocoaPods exponen aplicaciones iOS y macOS a ataques a la cadena de suministro

Fallas críticas en CocoaPods exponen aplicaciones iOS y macOS a ataques a la cadena de suministro

01 de julio de 2024Sala de prensaCadena de suministro/Seguridad de software Se han descubierto tres fallas de seguridad en el administrador de dependencias CocoaPods para proyectos Swift y Objective-C Cocoa que podrían explotarse para organizar ataques a la cadena de suministro de software, poniendo a los clientes intermedios en graves riesgos. Las vulnerabilidades permiten que «cualquier actor malicioso reclame la propiedad de miles de pods no reclamados e inserte código malicioso en muchas de las aplicaciones iOS y macOS más populares», dijeron los investigadores de EVA Information Security, Reef Spektor y Eran Vaknin, en un informe publicado hoy. La firma israelí de seguridad de aplicaciones dijo que CocoaPods solucionó los tres problemas desde octubre de 2023. También restablece todas las sesiones de usuario en ese momento en respuesta a las divulgaciones. Una de las vulnerabilidades es CVE-2024-38368 (puntuación CVSS: 9,3), que hace posible que un atacante abuse del proceso «Reclama tus Pods» y tome el control de un paquete, lo que le permite alterar el código fuente y introducir cambios maliciosos. Sin embargo, esto requería que todos los mantenedores anteriores hubieran sido eliminados del proyecto. Las raíces del problema se remontan a 2014, cuando una migración al servidor Trunk dejó miles de paquetes con propietarios desconocidos (o no reclamados), lo que permitió a un atacante utilizar una API pública para reclamar pods y una dirección de correo electrónico que estaba disponible en CocoaPods. código fuente («unclaimed-pods@cocoapods.org») para tomar el control. El segundo error es aún más crítico (CVE-2024-38366, puntuación CVSS: 10.0) y aprovecha un flujo de trabajo de verificación de correo electrónico inseguro para ejecutar código arbitrario en el servidor Trunk, que luego podría usarse para manipular o reemplazar los paquetes. También se identifica en el servicio un segundo problema en el componente de verificación de dirección de correo electrónico (CVE-2024-38367, puntuación CVSS: 8,2) que podría incitar a un destinatario a hacer clic en un enlace de verificación aparentemente benigno, cuando, en realidad, redirige el enlace. solicitud a un dominio controlado por un atacante para obtener acceso a los tokens de sesión de un desarrollador. Para empeorar las cosas, esto puede convertirse en un ataque de apropiación de cuentas sin hacer clic falsificando un encabezado HTTP (es decir, modificando el campo del encabezado X-Fordered-Host) y aprovechando herramientas de seguridad de correo electrónico mal configuradas. «Hemos descubierto que casi todos los propietarios de pods están registrados con el correo electrónico de su organización en el servidor Trunk, lo que los hace vulnerables a nuestra vulnerabilidad de adquisición sin clic», dijeron los investigadores. Esta no es la primera vez que CocoaPods pasa por el escáner. En marzo de 2023, Checkmarx reveló que un subdominio abandonado asociado con el administrador de dependencias («cdn2.cocoapods[.]org») podría haber sido secuestrado por un adversario a través de GitHub Pages con el objetivo de alojar sus cargas útiles. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Cómo mantenerse por delante de los actores amenazantes

Cómo mantenerse por delante de los actores amenazantes

La moderna cadena de destrucción está eludiendo a las empresas porque no protegen la infraestructura de los negocios modernos: SaaS. SaaS sigue dominando la adopción de software y representa la mayor parte del gasto en la nube pública. Pero tanto las empresas como las PYMES no han revisado sus programas de seguridad ni han adoptado herramientas de seguridad creadas para SaaS. Los equipos de seguridad siguen insertando clavijas locales en los agujeros de seguridad de SaaS. Los controles de seguridad maduros de los que dependían los CISO y sus equipos en la era del dominio local han desaparecido. Los firewalls ahora protegen un perímetro pequeño, la visibilidad es limitada e incluso si los proveedores de SaaS ofrecen registros, los equipos de seguridad necesitan un middleware local para digerirlos e insertarlos en su SIEM. Los proveedores de SaaS tienen alcances de seguridad bien definidos para sus productos, pero sus clientes deben gestionar el cumplimiento de SaaS y el gobierno de datos, la gestión de identidad y acceso (IAM) y los controles de aplicaciones, las áreas donde ocurren la mayoría de los incidentes. Si bien este modelo de responsabilidad compartida de SaaS es universal entre las aplicaciones SaaS, no hay dos aplicaciones SaaS que tengan configuraciones de seguridad idénticas. Figura 1. En el contexto de las preocupaciones de seguridad de SaaS, el proveedor de la aplicación es responsable de toda la infraestructura física, así como de la red, el sistema operativo y la aplicación. El cliente es responsable de la seguridad de los datos y la gestión de la identidad. El modelo de responsabilidad compartida de SaaS requiere que los clientes de SaaS asuman la propiedad de los componentes que los actores de amenazas atacan con mayor frecuencia. Ilustración cortesía de AppOmni. La investigación de AppOmni informa que, en promedio, una sola instancia de SaaS tiene 256 conexiones de SaaS a SaaS, muchas de las cuales ya no están en uso, pero aún tienen permisos excesivos en aplicaciones comerciales principales como Salesforce, Okta y GitHub, entre otras. .Entre la multitud de diferentes configuraciones de seguridad de SaaS y las constantes actualizaciones que las modifican, los equipos de seguridad no pueden monitorear estas conexiones de manera efectiva. La cantidad de puntos de entrada se multiplica exponencialmente cuando los empleados habilitan conexiones de SaaS a SaaS (también llamadas «terceros» o «máquinas»). Las identidades de las máquinas pueden utilizar claves API, secretos, sesiones, certificados digitales, claves de acceso a la nube y otras credenciales para permitir que las máquinas se comuniquen entre sí. A medida que la superficie de ataque migraba fuera del perímetro de la red, también lo hacía la cadena de destrucción, es decir, la forma en que los actores de amenazas orquestan las distintas fases de sus ataques. Mire el informe y análisis de amenazas SaaS de AppOmni SaaS es el nuevo campo de batalla de la ciberseguridad. Vea a los expertos en seguridad de AppOmni analizar ejemplos del mundo real de la cadena de eliminación de SaaS moderna y TTP comunes, y le mostrarán cómo reducir la probabilidad de éxito de los actores de amenazas. La cadena de eliminación de SaaS moderna generalmente implica: comprometer una identidad en el IdP a través de una campaña de phishing exitosa, comprar credenciales robadas de la web oscura, cadenas de credenciales, relleno de credenciales, aprovechar inquilinos de SaaS mal configurados o métodos similares. Realización de una fase de reconocimiento posterior a la autenticación. Este paso recuerda a los atacantes que irrumpían en las redes corporativas de antaño. Pero ahora están revisando repositorios de documentos, repositorios de código fuente, bóvedas de contraseñas, Slack, Teams y entornos similares para encontrar puntos de entrada de escalada privilegiados. Aprovechar sus hallazgos para avanzar lateralmente hacia otros inquilinos de SaaS, PaaS o IaaS y, a veces, hacia la infraestructura corporativa, dondequiera que puedan encontrar los datos más valiosos para la organización objetivo. Cifrar las joyas de la corona o entregar su nota de rescate e intentar evadir la detección. Figura 2. Las cadenas de eliminación exitosas de SaaS generalmente implican cuatro pasos generales: acceso inicial, reconocimiento, movimiento lateral y persistencia, y ejecución de ransomware y evasión de seguridad. Ilustración cortesía de AppOmni. Rompiendo una cadena de muerte de SaaS del mundo real: el último seminario web informativo sobre inteligencia de amenazas de AppOmni, líder en seguridad de SaaS de Scattered Spider/Starfraud, delineó la cadena de muerte del ataque exitoso de los grupos de actores de amenazas Scattered Spider/Starfraud (afiliados de ALPHV) a un objetivo no revelado en septiembre 2023: un usuario abrió un correo electrónico de phishing que contenía enlaces a una página de inicio de sesión de IdP falsa y, sin saberlo, inició sesión en la página de IdP falsa. Los grupos de actores de amenazas llamaron inmediatamente a ese usuario y lo convencieron, mediante ingeniería social, para que le proporcionara su token de contraseña de un solo uso basado en el tiempo (TOTP). Después de obtener las credenciales de inicio de sesión del usuario y el token TOTP, los actores de amenazas engañaron al protocolo MFA haciéndoles creer que eran el usuario legítimo. Mientras estaban en modo de reconocimiento, los actores de amenazas tenían acceso a una escalada privilegiada, lo que les permitía obtener credenciales en Amazon S3, luego en Azure AD y finalmente en Citrix VDI (infraestructura de escritorio virtual). Luego, los actores de amenazas implementaron su propio servidor malicioso en el entorno IaaS, en el que ejecutaron un ataque de escalada privilegiado de Azure AD. Los atacantes cifraron todos los datos a su alcance y entregaron una nota de rescate. Figura 3. La cadena de destrucción utilizada por los grupos de actores de amenazas Scattered Spider/Starfraud. Ilustración cortesía de AppOmni. Scattered Spider/Starfraud probablemente logró esta serie de eventos durante varios días. Cuando SaaS sirve como punto de entrada, un ataque grave puede incluir la red y la infraestructura corporativa. Esta conectividad SaaS/local es común en las superficies de ataque empresariales actuales. La actividad de ataques SaaS por parte de actores de amenazas conocidos y desconocidos está aumentando. La mayoría de las infracciones de SaaS no dominan los titulares, pero las consecuencias son significativas. IBM informa que las violaciones de datos en 2023 promediaron 4,45 millones de dólares por instancia, lo que representa un aumento del 15% en tres años. Los actores de amenazas dependen continuamente de los mismos TTP y el mismo manual de estrategias de la cadena de destrucción de Scattered Spider/Starfraud para obtener acceso no autorizado y escanear a los inquilinos de SaaS, incluidos Salesforce y M365, donde los problemas de configuración podrían manipularse para proporcionar acceso más adelante. Otros atacantes obtienen acceso inicial con secuestro de sesión y viajes imposibles. Una vez que han transferido la sesión secuestrada a un host diferente, su movimiento lateral a menudo involucra plataformas de comunicaciones como SharePoint, JIRA, DocuSign y Slack, así como repositorios de documentos como Confluence. Si pueden acceder a GitHub u otros repositorios de código fuente, los actores de amenazas extraerán ese código fuente y lo analizarán en busca de vulnerabilidades dentro de una aplicación de destino. Intentarán explotar estas vulnerabilidades para extraer los datos de la aplicación de destino. El informe de inteligencia de amenazas de AppOmni también informa que la filtración de datos mediante el intercambio de permisos sigue siendo un grave problema de seguridad de SaaS. Esto ocurre, por ejemplo, en Google Workspace cuando el usuario no autorizado cambia de directorio a un nivel de permisos muy abierto. El atacante puede compartirlos con otra entidad externa mediante el reenvío de correo electrónico o cambiando reglas condicionales para que los atacantes se incluyan como destinatarios BCC en una lista de distribución. ¿Cómo protege sus entornos SaaS? 1. Centrarse en la higiene de los sistemas SaaS Establezca un proceso de admisión y revisión de SaaS para determinar qué SaaS permitirá en su empresa. Este proceso debería requerir respuestas a preguntas de seguridad como: ¿Todos los SaaS deben tener certificación SOC 2 Tipo 2? ¿Cuál es la configuración de seguridad óptima para cada inquilino? ¿Cómo evitará su empresa la desviación de la configuración? ¿Cómo determinará si las actualizaciones automáticas de SaaS requerirán modificar la configuración de control de seguridad? Asegúrese de poder detectar Shadow IT SaaS (o aplicaciones SaaS no autorizadas) y tener un programa de respuesta para que las alertas no se creen en vano. Si no supervisa a sus inquilinos de SaaS y no incorpora todos sus registros con algún método unificado, nunca podrá detectar comportamientos sospechosos ni recibir alertas basadas en ellos. 2. Realizar un inventario y monitorear continuamente las cuentas/identidades de las máquinas. Los actores de amenazas apuntan a las identidades de las máquinas por su acceso privilegiado y estándares de autenticación laxos, y a menudo rara vez requieren MFA. En 2023, los actores de amenazas atacaron y violaron con éxito las principales herramientas de CI/CD, Travis CI, CircleCI y Heroku. , robando tokens de OAuth para todos los clientes de estos proveedores. En estas situaciones, el radio de la explosión se amplía considerablemente. Dado que una empresa promedio contiene 256 identidades de máquinas, a menudo falta higiene. Muchos de ellos se utilizan una o dos veces y luego permanecen estancados durante años. Haga un inventario de todas las identidades de sus máquinas y clasifique estos riesgos críticos. Una vez que los haya mitigado, cree políticas que prescriban: A qué tipo de cuentas se les otorgarán identidades de máquina y los requisitos que estos proveedores deben cumplir para obtener acceso. El período de tiempo durante el cual sus accesos/tokens están activos antes de que sean revocados, actualizados o concedidos nuevamente. Cómo supervisará el uso de estas cuentas y se asegurará de que sigan siendo necesarias si experimentan períodos de inactividad. 3. Cree una verdadera arquitectura Zero Trust en su patrimonio SaaS. La arquitectura Zero Trust se basa en el principio de privilegio mínimo (PLP) con un enfoque de «nunca confiar, siempre verificar». Si bien Zero Trust se ha establecido en redes tradicionales, rara vez se logra en entornos SaaS. El enfoque centrado en la red de Zero Trust Network Access (ZTNA) no puede detectar configuraciones erróneas, integraciones de máquinas o derechos de acceso de usuarios no deseados dentro y hacia las plataformas SaaS, que pueden tener miles o incluso millones de usuarios externos accediendo a los datos. Zero Trust Posture Management (ZTPM), una herramienta de seguridad SaaS emergente, extiende Zero Trust a su patrimonio SaaS. Cierra la brecha de seguridad de SaaS que crea SASE al: Prevenir la omisión no autorizada de ZTNA. Permitir decisiones de acceso afinadas. Hacer cumplir sus políticas de seguridad con ciclos de retroalimentación continuos. Extender Zero Trust a integraciones de máquinas y conexiones en la nube. Con SSPM, ZTPM y un programa de seguridad SaaS en En este lugar, su equipo obtendrá la visibilidad y la inteligencia que necesita para identificar intrusos en las etapas de bajo riesgo de su cadena de destrucción y detenerlos antes de que una infracción se vuelva devastadora. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

GitLab lanza un parche para una vulnerabilidad crítica en el pipeline de CI/CD y otras 13

GitLab lanza un parche para una vulnerabilidad crítica en el pipeline de CI/CD y otras 13

28 de junio de 2024Sala de prensaSoftware Security / DevOps GitLab ha lanzado actualizaciones de seguridad para abordar 14 fallas de seguridad, incluida una vulnerabilidad crítica que podría explotarse para ejecutar canales de integración e implementación continuas (CI/CD) como cualquier usuario. Las debilidades, que afectan a GitLab Community Edition (CE) y Enterprise Edition (EE), se solucionaron en las versiones 17.1.1, 17.0.3 y 16.11.5. La más grave de las vulnerabilidades es CVE-2024-5655 (puntuación CVSS: 9,6), que podría permitir a un actor malintencionado activar una canalización como otro usuario en determinadas circunstancias. Afecta a las siguientes versiones de CE y EE: 17.1 anterior a 17.1.1, 17.0 anterior a 17.0.3 y 15.8 anterior a 16.11.5. GitLab dijo que la solución introduce dos cambios importantes como resultado de los cuales la autenticación GraphQL usando CI_JOB_TOKEN está deshabilitada por default y las canalizaciones ya no se ejecutarán automáticamente cuando se redireccione una solicitud de fusión después de fusionar su rama de destino anterior. Algunas de las otras fallas importantes corregidas como parte de la última versión se enumeran a continuación: CVE-2024-4901 (puntaje CVSS: 8.7) – Una vulnerabilidad XSS almacenada podría importarse desde un proyecto con notas de confirmación maliciosas CVE-2024-4994 (CVSS puntuación: 8.1) – Un ataque CSRF a la API GraphQL de GitLab que conduce a la ejecución de mutaciones arbitrarias de GraphQL CVE-2024-6323 (puntuación CVSS: 7.5) – Una falla de autorización en la función de búsqueda global que permite la fuga de información confidencial de un sitio privado repositorio dentro de un proyecto público CVE-2024-2177 (puntuación CVSS: 6,8): una vulnerabilidad de falsificación de ventanas cruzadas que permite a un atacante abusar del flujo de autenticación OAuth a través de una carga útil diseñada. Si bien no hay evidencia de explotación activa de las fallas, los usuarios Se recomienda aplicar los parches para mitigar posibles amenazas. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El nuevo ataque SnailLoad aprovecha la latencia de la red para espiar las actividades web de los usuarios

El nuevo ataque SnailLoad aprovecha la latencia de la red para espiar las actividades web de los usuarios

28 de junio de 2024Sala de prensaSeguridad de redes / Protección de datos Un grupo de investigadores de seguridad de la Universidad Tecnológica de Graz ha demostrado un nuevo ataque de canal lateral conocido como SnailLoad que podría usarse para inferir de forma remota la actividad web de un usuario. «SnailLoad explota un cuello de botella presente en todas las conexiones a Internet», dijeron los investigadores en un estudio publicado esta semana. «Este cuello de botella influye en la latencia de los paquetes de red, lo que permite a un atacante inferir la actividad de red actual en la conexión a Internet de otra persona. Un atacante puede usar esta información para inferir los sitios web que visita un usuario o los videos que mira». Una característica definitoria de este enfoque es que evita la necesidad de llevar a cabo un ataque de adversario en el medio (AitM) o estar cerca físicamente de la conexión Wi-Fi para rastrear el tráfico de la red. En concreto, implica engañar a un objetivo para que cargue un activo inofensivo (por ejemplo, un archivo, una imagen o un anuncio) desde un servidor controlado por un actor de amenazas, que luego explota la latencia de la red de la víctima como un canal secundario para determinar las actividades en línea en el sistema de la víctima. Para realizar un ataque de toma de huellas digitales de este tipo y obtener qué vídeo o sitio web podría estar viendo o visitando un usuario, el atacante realiza una serie de mediciones de latencia de la conexión de red de la víctima a medida que se descarga el contenido del servidor mientras navega o visualiza. A continuación, implica una fase de posprocesamiento que emplea una red neuronal convolucional (CNN) entrenada con rastros de una configuración de red idéntica para realizar la inferencia con una precisión de hasta el 98% para vídeos y el 63% para sitios web. En otras palabras, debido al cuello de botella de la red del lado de la víctima, el adversario puede deducir la cantidad de datos transmitidos midiendo el tiempo de ida y vuelta del paquete (RTT). Los rastros de RTT son únicos por vídeo y se pueden utilizar para clasificar el vídeo visto por la víctima. El ataque se llama así porque el servidor atacante transmite el archivo a paso de tortuga para controlar la latencia de la conexión durante un período prolongado de tiempo. «SnailLoad no requiere JavaScript, ninguna forma de ejecución de código en el sistema de la víctima y ninguna interacción del usuario, sino solo un intercambio constante de paquetes de red», explicaron los investigadores, y agregaron que «mide la latencia en el sistema de la víctima e infiere la actividad de red en el sistema de la víctima a partir de las variaciones de latencia». «La causa principal del canal lateral es el almacenamiento en búfer en un nodo de ruta de transporte, generalmente el último nodo antes del módem o enrutador del usuario, relacionado con un problema de calidad de servicio llamado bufferbloat». La revelación se produce después de que los académicos revelaran una falla de seguridad en la forma en que el firmware del enrutador maneja el mapeo de Traducción de Direcciones de Red (NAT) que podría ser explotada por un atacante conectado a la misma red Wi-Fi que la víctima para eludir la aleatorización incorporada en el Protocolo de Control de Transmisión (TCP). «La mayoría de los enrutadores, por razones de rendimiento, no inspeccionan rigurosamente los números de secuencia de los paquetes TCP», dijeron los investigadores. «En consecuencia, esto introduce vulnerabilidades de seguridad graves que los atacantes pueden explotar creando paquetes de reinicio falsificados (RST) para borrar maliciosamente las asignaciones NAT en el enrutador». El ataque básicamente permite al actor de la amenaza inferir los puertos de origen de otras conexiones de clientes, así como robar el número de secuencia y el número de reconocimiento de la conexión TCP normal entre el cliente víctima y el servidor para realizar la manipulación de la conexión TCP. Los ataques de secuestro dirigidos a TCP podrían luego ser utilizados como arma para envenenar la página web HTTP de una víctima o realizar ataques de denegación de servicio (DoS), según los investigadores, quienes dijeron que la comunidad OpenWrt, así como los proveedores de enrutadores como 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti y Xiaomi, están preparando parches para la vulnerabilidad. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los investigadores advierten sobre las deficiencias de los equipos de análisis de gases industriales más utilizados

Los investigadores advierten sobre las deficiencias de los equipos de análisis de gases industriales más utilizados

28 de junio de 2024Sala de prensaSeguridad industrial / Infraestructura crítica Se han revelado múltiples fallas de seguridad en los cromatógrafos de gases Emerson Rosemount que podrían ser explotadas por actores maliciosos para obtener información confidencial, inducir una condición de denegación de servicio (DoS) e incluso ejecutar comandos arbitrarios. Las fallas afectan a GC370XA, GC700XA y GC1500XA y residen en las versiones 4.1.5 y anteriores. Según la empresa de seguridad de tecnología operativa (OT) Claroty, las vulnerabilidades incluyen dos fallas de inyección de comandos y dos vulnerabilidades de autenticación y autorización independientes que podrían ser utilizadas por atacantes no autenticados para realizar una amplia gama de acciones maliciosas que van desde la omisión de la autenticación hasta la inyección de comandos. «La explotación exitosa de estas vulnerabilidades podría permitir que un atacante no autenticado con acceso a la red ejecute comandos arbitrarios, acceda a información confidencial, provoque una condición de denegación de servicio y evite la autenticación para adquirir capacidades de administrador», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) en un aviso publicado en enero. El cromatógrafo, que se utiliza para realizar mediciones críticas de gases, se puede configurar y administrar mediante un software llamado MON. El software también se puede utilizar para almacenar datos críticos y generar informes como cromatogramas, historial de alarmas, registros de eventos y registros de mantenimiento. El análisis de Claroty del firmware y el protocolo propietario utilizado para las comunicaciones entre el dispositivo y el cliente de Windows llamado MON2020 ha revelado las siguientes deficiencias: CVE-2023-46687 (puntuación CVSS: 9,8): un usuario no autenticado con acceso a la red podría ejecutar comandos arbitrarios en el contexto raíz desde una computadora remota CVE-2023-49716 (puntuación CVSS: 6,9): un usuario autenticado con acceso a la red podría ejecutar comandos arbitrarios desde una computadora remota CVE-2023-51761 (puntuación CVSS: 8,3): un usuario no autenticado con acceso a la red podría eludir la autenticación y adquirir capacidades de administrador restableciendo la contraseña asociada CVE-2023-43609 (puntuación CVSS: 6,9): un usuario no autenticado con acceso a la red podría obtener acceso a información confidencial o provocar una condición de denegación de servicio Tras una divulgación responsable, Emerson ha publicado [PDF] una versión actualizada del firmware que soluciona las vulnerabilidades. La empresa también recomienda a los usuarios finales que sigan las mejores prácticas de ciberseguridad y se aseguren de que los productos afectados no estén expuestos directamente a Internet. La revelación se produce cuando Nozomi Networks detalló varias fallas en AiLux RTU62351B que podrían usarse para acceder a recursos confidenciales en el dispositivo, alterar su configuración e incluso lograr la ejecución de comandos arbitrarios como root. Las vulnerabilidades se han denominado colectivamente I11USION. También se han identificado fallas en los dispositivos de monitoreo de temperatura Proges Plus y su software asociado, a saber, Sensor Net Connect y Thermoscan IP, que podrían permitir privilegios de administrador sobre sistemas médicos críticos, lo que hace posible que un actor malintencionado manipule la configuración del sistema, instale malware y exfiltre datos. Estas vulnerabilidades, que siguen sin parchearse, también podrían resultar en una condición de DoS de la infraestructura de monitoreo médico, lo que lleva al deterioro de medicamentos y vacunas sensibles a la temperatura. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Un fallo de inyección rápida en Vanna AI expone las bases de datos a ataques RCE

Un fallo de inyección rápida en Vanna AI expone las bases de datos a ataques RCE

Investigadores de ciberseguridad han revelado una falla de seguridad de alta gravedad en la biblioteca Vanna.AI que podría explotarse para lograr una vulnerabilidad de ejecución remota de código mediante técnicas de inyección rápida. La vulnerabilidad, rastreada como CVE-2024-5565 (puntaje CVSS: 8.1), se relaciona con un caso de inyección rápida en la función «preguntar» que podría explotarse para engañar a la biblioteca para que ejecute comandos arbitrarios, dijo la firma de seguridad de la cadena de suministro JFrog. Vanna es una biblioteca de aprendizaje automático basada en Python que permite a los usuarios chatear con su base de datos SQL para obtener información «simplemente haciendo preguntas» (también conocidas como indicaciones) que se traducen a una consulta SQL equivalente utilizando un modelo de lenguaje grande (LLM). La rápida implementación de modelos de inteligencia artificial (IA) generativa en los últimos años ha puesto de relieve los riesgos de explotación por parte de actores maliciosos, que pueden convertir las herramientas en armas proporcionando entradas adversas que eluden los mecanismos de seguridad integrados en ellas. Una de esas clases destacadas de ataques es la inyección rápida, que se refiere a un tipo de jailbreak de IA que puede usarse para ignorar las barreras erigidas por los proveedores de LLM para evitar la producción de contenido ofensivo, dañino o ilegal, o llevar a cabo instrucciones que violen el objetivo previsto. propósito de la aplicación. Dichos ataques pueden ser indirectos, en los que un sistema procesa datos controlados por un tercero (por ejemplo, correos electrónicos entrantes o documentos editables) para lanzar una carga útil maliciosa que conduce a una fuga de IA. También pueden tomar la forma de lo que se llama jailbreak de muchos disparos o jailbreak de múltiples turnos (también conocido como Crescendo) en el que el operador «comienza con un diálogo inofensivo y dirige progresivamente la conversación hacia el objetivo prohibido previsto». Este enfoque se puede ampliar aún más para realizar otro novedoso ataque de jailbreak conocido como Skeleton Key. «Esta técnica de jailbreak de IA funciona mediante el uso de una estrategia de múltiples turnos (o múltiples pasos) para hacer que un modelo ignore sus barreras de seguridad», dijo Mark Russinovich, director de tecnología de Microsoft Azure. «Una vez que se ignoran las barreras de seguridad, un modelo no podrá determinar solicitudes maliciosas o no autorizadas de ningún otro». Skeleton Key también se diferencia de Crescendo en que una vez que el jailbreak es exitoso y se cambian las reglas del sistema, el modelo puede crear respuestas a preguntas que de otro modo estarían prohibidas, independientemente de los riesgos éticos y de seguridad involucrados. «Cuando el jailbreak de Skeleton Key tiene éxito, un modelo reconoce que ha actualizado sus pautas y posteriormente cumplirá con las instrucciones para producir cualquier contenido, sin importar cuánto viole sus pautas originales de IA responsable», dijo Russinovich. «A diferencia de otros jailbreaks como Crescendo, donde se debe preguntar a los modelos sobre las tareas indirectamente o con codificaciones, Skeleton Key pone a los modelos en un modo en el que un usuario puede solicitar tareas directamente. Además, la salida del modelo parece no estar completamente filtrada y revela el alcance de el conocimiento o la capacidad de un modelo para producir el contenido solicitado». Los últimos hallazgos de JFrog –también divulgados de forma independiente por Tong Liu– muestran cómo las inyecciones rápidas podrían tener graves impactos, particularmente cuando están vinculadas a la ejecución de una orden. CVE-2024-5565 aprovecha el hecho de que Vanna facilita la generación de texto a SQL para crear consultas SQL, que luego se ejecutan y se presentan gráficamente a los usuarios utilizando la biblioteca de gráficos Plotly. Esto se logra mediante una función «preguntar», por ejemplo, vn.ask («¿Cuáles son los 10 principales clientes por ventas?»), que es uno de los principales puntos finales de API que permite ejecutar consultas SQL en la base de datos. El comportamiento antes mencionado, junto con la generación dinámica del código Plotly, crea un agujero de seguridad que permite a un actor de amenazas enviar un mensaje especialmente diseñado que incorpora un comando para ejecutarse en el sistema subyacente. «La biblioteca Vanna utiliza una función de aviso para presentar al usuario resultados visualizados, es posible alterar el aviso usando la inyección de aviso y ejecutar código Python arbitrario en lugar del código de visualización deseado», dijo JFrog. «Específicamente, permitir la entrada externa al método ‘preguntar’ de la biblioteca con ‘visualizar’ configurado en Verdadero (comportamiento predeterminado) conduce a la ejecución remota de código». Tras una divulgación responsable, Vanna ha publicado una guía de refuerzo que advierte a los usuarios que la integración de Plotly podría usarse para generar código Python arbitrario y que los usuarios que expongan esta función deben hacerlo en un entorno de espacio aislado. «Este descubrimiento demuestra que los riesgos del uso generalizado de GenAI/LLM sin una gobernanza y seguridad adecuadas pueden tener implicaciones drásticas para las organizaciones», dijo en un comunicado Shachar Menashe, director senior de investigación de seguridad de JFrog. «Los peligros de la inyección rápida todavía no son muy conocidos, pero son fáciles de ejecutar. Las empresas no deberían confiar en la estimulación previa como mecanismo de defensa infalible y deberían emplear mecanismos más sólidos al conectar los LLM con recursos críticos como bases de datos o dinámicas. codigo de GENERACION.» ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

La botnet P2PInfect basada en Rust evoluciona con cargas útiles de minero y ransomware

La botnet P2PInfect basada en Rust evoluciona con cargas útiles de minero y ransomware

Se ha descubierto que la botnet de malware peer-to-peer conocida como P2PInfect apunta a servidores Redis mal configurados con ransomware y mineros de criptomonedas. El desarrollo marca la transición de la amenaza de lo que parecía ser una botnet inactiva con motivos poco claros a una operación con motivación financiera. «Con sus últimas actualizaciones del cripto minero, la carga útil del ransomware y los elementos del rootkit, demuestra los continuos esfuerzos del autor del malware para sacar provecho de su acceso ilícito y difundir aún más la red, mientras continúa invadiendo Internet», dijo Cado Security en un informe publicado esta semana. P2PInfect salió a la luz hace casi un año y desde entonces ha recibido actualizaciones para arquitecturas MIPS y ARM. A principios de enero, Nozomi Networks descubrió el uso del malware para entregar cargas útiles a los mineros. Por lo general, se propaga apuntando a los servidores Redis y su función de replicación para transformar los sistemas víctimas en un nodo seguidor del servidor controlado por el atacante, permitiéndole posteriormente emitirles comandos arbitrarios. El gusano basado en Rust también presenta la capacidad de escanear Internet en busca de servidores más vulnerables, sin mencionar la incorporación de un módulo de distribución de contraseñas SSH que intenta iniciar sesión utilizando contraseñas comunes. Además de tomar medidas para evitar que otros atacantes apunten al mismo servidor, se sabe que P2PInfect cambia las contraseñas de otros usuarios, reinicia el servicio SSH con permisos de root e incluso realiza una escalada de privilegios. «Como sugiere el nombre, es una botnet peer-to-peer, donde cada máquina infectada actúa como un nodo en la red y mantiene una conexión con varios otros nodos», dijo el investigador de seguridad Nate Bill. «Esto da como resultado que la botnet forme una enorme red de malla, que el autor del malware utiliza para enviar archivos binarios actualizados a través de la red, a través de un mecanismo de chismes. El autor simplemente necesita notificar a un par, y este informará a todos sus pares y y así sucesivamente hasta que el nuevo binario se propague por completo a través de la red». Entre los nuevos cambios de comportamiento de P2PInfect se incluye el uso del malware para eliminar cargas útiles de mineros y ransomware, el último de los cuales está diseñado para cifrar archivos que coinciden con ciertas extensiones de archivo y entregar una nota de rescate instando a las víctimas a pagar 1 XMR (~$165). «Como se trata de un ataque oportunista y no dirigido, es probable que las víctimas sean de bajo valor, por lo que es de esperar un precio bajo», señaló Bill. También es de destacar un nuevo rootkit en modo de usuario que utiliza la variable de entorno LD_PRELOAD para ocultar sus procesos y archivos maliciosos de las herramientas de seguridad, una técnica también adoptada por otros grupos de criptojacking como TeamTNT. Se sospecha que P2PInfect se anuncia como un servicio de botnet de alquiler, que actúa como un conducto para desplegar las cargas útiles de otros atacantes a cambio de un pago. Esta teoría se ve reforzada por el hecho de que las direcciones de billetera para el minero y el ransomware son diferentes, y que el proceso minero está configurado para consumir la mayor potencia de procesamiento posible, lo que interfiere con el funcionamiento del ransomware. «La elección de una carga útil de ransomware para malware dirigido principalmente a un servidor que almacena datos efímeros en memoria es extraña, y P2Pinfect probablemente obtendrá muchas más ganancias de su minero que de su ransomware debido a la cantidad limitada de archivos de bajo valor que contiene. puede acceder debido a su nivel de permiso», dijo Bill. «La introducción del rootkit en modo de usuario es una adición ‘buena en el papel’ al malware. Si el acceso inicial es Redis, el rootkit en modo de usuario también será completamente ineficaz ya que sólo puede agregar la precarga para la cuenta de servicio de Redis, que otros usuarios probablemente no iniciará sesión como.» La divulgación sigue a las revelaciones del Centro de Inteligencia de Seguridad de AhnLab (ASEC) de que servidores web vulnerables que tienen fallas sin parchear o están mal protegidos están siendo atacados por presuntos actores de amenazas de habla china para implementar criptomineros. «El control remoto se facilita a través de shells web instalados y NetCat, y dada la instalación de herramientas proxy destinadas al acceso RDP, la filtración de datos por parte de los actores de amenazas es una clara posibilidad», dijo ASEC, destacando el uso de Behinder, China Chopper, Godzilla, BadPotato, cpolar y RingQ. También se produce cuando Fortinet FortiGuard Labs señaló que botnets como UNSTABLE, Condi y Skibidi están abusando de operadores legítimos de servicios informáticos y de almacenamiento en la nube para distribuir cargas útiles de malware y actualizaciones a una amplia gama de dispositivos. «Usar servidores en la nube para [command-and-control] «Las operaciones garantizan una comunicación persistente con los dispositivos comprometidos, lo que dificulta que los defensores interrumpan un ataque», dijeron los investigadores de seguridad Cara Lin y Vincent Li. ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los secretos del entrenamiento oculto de IA en sus datos

Los secretos del entrenamiento oculto de IA en sus datos

27 de junio de 2024The Hacker NewsInteligencia artificial/Seguridad SaaS Si bien algunas amenazas de SaaS son claras y visibles, otras están ocultas a plena vista, y ambas presentan riesgos importantes para su organización. La investigación de Wing indica que un sorprendente 99,7% de las organizaciones utilizan aplicaciones integradas con funcionalidades de IA. Estas herramientas impulsadas por IA son indispensables y brindan experiencias fluidas desde la colaboración y la comunicación hasta la gestión del trabajo y la toma de decisiones. Sin embargo, detrás de estas comodidades se esconde un riesgo en gran medida no reconocido: el potencial de que las capacidades de IA en estas herramientas SaaS comprometan datos comerciales confidenciales y la propiedad intelectual (PI). Los hallazgos recientes de Wing revelan una estadística sorprendente: el 70% de las 10 aplicaciones de IA más utilizadas pueden usar sus datos para entrenar sus modelos. Esta práctica puede ir más allá del mero aprendizaje y almacenamiento de datos. Puede implicar volver a capacitar sus datos, hacer que revisores humanos los analicen e incluso compartirlos con terceros. A menudo, estas amenazas están enterradas en la letra pequeña de los acuerdos de Términos y condiciones y políticas de privacidad, que describen el acceso a los datos y los complejos procesos de exclusión voluntaria. Este enfoque sigiloso introduce nuevos riesgos, lo que hace que los equipos de seguridad tengan dificultades para mantener el control. Este artículo profundiza en estos riesgos, proporciona ejemplos del mundo real y ofrece mejores prácticas para proteger su organización a través de medidas de seguridad SaaS efectivas. Cuatro riesgos de la capacitación de IA en sus datos Cuando las aplicaciones de IA utilizan sus datos para capacitación, surgen varios riesgos importantes que pueden afectar la privacidad, la seguridad y el cumplimiento de su organización: 1. Propiedad intelectual (PI) y fuga de datos Una de las preocupaciones más críticas es la posible exposición de su propiedad intelectual (PI) y datos confidenciales a través de modelos de IA. Cuando los datos de su empresa se utilizan para entrenar la IA, sin darse cuenta, pueden revelar información patentada. Esto podría incluir estrategias comerciales sensibles, secretos comerciales y comunicaciones confidenciales, lo que generaría vulnerabilidades importantes. 2. Utilización de datos y desalineación de intereses Las aplicaciones de IA a menudo utilizan sus datos para mejorar sus capacidades, lo que puede provocar una desalineación de intereses. Por ejemplo, la investigación de Wing ha demostrado que una popular aplicación CRM utiliza datos de su sistema (incluidos detalles de contacto, historiales de interacción y notas de clientes) para entrenar sus modelos de IA. Estos datos se utilizan para mejorar las características del producto y desarrollar nuevas funcionalidades. Sin embargo, también podría significar que sus competidores, que utilizan la misma plataforma, pueden beneficiarse de la información derivada de sus datos. 3. Compartir con terceros Otro riesgo importante implica compartir sus datos con terceros. Los datos recopilados para la capacitación en IA pueden ser accesibles a procesadores de datos externos. Estas colaboraciones tienen como objetivo mejorar el rendimiento de la IA e impulsar la innovación del software, pero también plantean preocupaciones sobre la seguridad de los datos. Los proveedores externos pueden carecer de medidas sólidas de protección de datos, lo que aumenta el riesgo de infracciones y uso no autorizado de datos. 4. Preocupaciones por el cumplimiento Las distintas regulaciones en todo el mundo imponen reglas estrictas sobre el uso, el almacenamiento y el intercambio de datos. Garantizar el cumplimiento se vuelve más complejo cuando las aplicaciones de IA se entrenan con sus datos. El incumplimiento puede dar lugar a fuertes multas, acciones legales y daños a la reputación. Navegar por estas regulaciones requiere un esfuerzo y experiencia significativos, lo que complica aún más la gestión de datos. ¿Qué datos están entrenando realmente? Comprender los datos utilizados para entrenar modelos de IA en aplicaciones SaaS es esencial para evaluar los riesgos potenciales e implementar medidas sólidas de protección de datos. Sin embargo, la falta de coherencia y transparencia entre estas aplicaciones plantea desafíos para los directores de seguridad de la información (CISO) y sus equipos de seguridad a la hora de identificar los datos específicos que se utilizan para la formación en IA. Esta opacidad genera preocupaciones sobre la exposición involuntaria de información confidencial y propiedad intelectual. Superando los desafíos de la exclusión voluntaria de datos en plataformas impulsadas por IA En todas las aplicaciones SaaS, la información sobre la exclusión voluntaria del uso de datos a menudo está dispersa y es inconsistente. Algunos mencionan opciones de exclusión voluntaria en términos de servicio, otros en políticas de privacidad y algunos requieren enviar un correo electrónico a la empresa para optar por no participar. Esta inconsistencia y falta de transparencia complica la tarea de los profesionales de la seguridad, destacando la necesidad de un enfoque simplificado para controlar el uso de datos. Por ejemplo, una aplicación de generación de imágenes permite a los usuarios optar por no participar en la capacitación de datos seleccionando opciones privadas de generación de imágenes, disponibles con planes pagos. Otro ofrece opciones de exclusión voluntaria, aunque puede afectar el rendimiento del modelo. Algunas aplicaciones permiten a los usuarios individuales ajustar la configuración para evitar que sus datos se utilicen para capacitación. La variabilidad en los mecanismos de exclusión voluntaria subraya la necesidad de que los equipos de seguridad comprendan y administren las políticas de uso de datos en las diferentes empresas. Una solución SaaS centralizada de gestión de la postura de seguridad (SSPM) puede ayudar proporcionando alertas y orientación sobre las opciones de exclusión voluntaria disponibles para cada plataforma, agilizando el proceso y garantizando el cumplimiento de las políticas y regulaciones de gestión de datos. En última instancia, comprender cómo la IA utiliza sus datos es crucial para gestionar los riesgos y garantizar el cumplimiento. Saber cómo cancelar el uso de datos es igualmente importante para mantener el control sobre su privacidad y seguridad. Sin embargo, la falta de enfoques estandarizados en las plataformas de IA dificulta estas tareas. Al priorizar la visibilidad, el cumplimiento y las opciones de exclusión voluntarias accesibles, las organizaciones pueden proteger mejor sus datos de los modelos de capacitación de IA. Aprovechar una solución SSPM centralizada y automatizada como Wing permite a los usuarios afrontar los desafíos de los datos de IA con confianza y control, garantizando que su información confidencial y su propiedad intelectual permanezcan seguras. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Cómo utilizar Python para crear aplicaciones Blockchain seguras

Cómo utilizar Python para crear aplicaciones Blockchain seguras

¿Sabías que ahora es posible crear aplicaciones blockchain, también conocidas como aplicaciones descentralizadas (o «dApps» para abreviar) en Python nativo? El desarrollo de blockchain ha requerido tradicionalmente el aprendizaje de lenguajes especializados, creando una barrera para muchos desarrolladores… hasta ahora. AlgoKit, un conjunto de herramientas de desarrollo todo en uno para Algorand, permite a los desarrolladores crear aplicaciones blockchain en Python puro. Este artículo le explicará los beneficios de crear aplicaciones blockchain, por qué Python es una opción ideal para el desarrollo de dApps, cómo configurar su entorno de desarrollo blockchain y cómo comenzar a crear aplicaciones blockchain seguras en Python nativo. ¿Por qué crear aplicaciones blockchain? El desarrollo de aplicaciones blockchain va mucho más allá de la creación de una base de datos descentralizada y transacciones entre pares. Desbloquea un nuevo nivel de confianza, seguridad y eficiencia para diversas aplicaciones. Garantizar registros a prueba de manipulaciones: Blockchain crea un libro de contabilidad inmutable y transparente, lo que garantiza la seguridad de los datos y elimina el riesgo de manipulación. Automatice acuerdos complejos: los contratos inteligentes y los intercambios atómicos eliminan la necesidad de verificación de terceros, lo que agiliza las transacciones y reduce los costos. Revolucionar la propiedad de activos: la digitalización permite la propiedad fraccionada y el comercio seguro de activos del mundo real. Cree soluciones innovadoras: las habilidades de desarrollo de Python se pueden utilizar para crear aplicaciones innovadoras en inteligencia artificial, gestión de identidades e intercambio seguro de datos de IoT. ¿Por qué utilizar Python para crear aplicaciones blockchain? Legibilidad y mantenibilidad: la sintaxis fluida y las herramientas sólidas de Python facilitan la escritura, comprensión y modificación del código, especialmente cuando se trabaja en proyectos de blockchain complejos y potentes. Integración con otras tecnologías: Python funciona bien con otras tecnologías que se utilizan a menudo junto con blockchain, como marcos de desarrollo web y bibliotecas de aprendizaje automático. Esto permite crear dApps que van más allá de la funcionalidad central de blockchain. Experiencia de desarrollador de clase mundial: Python tiene una comunidad de desarrolladores vasta y activa, además de documentación completa y de primer nivel y herramientas sólidas para respaldar su viaje de desarrollo de Python y blockchain. Cómo configurar su entorno de desarrollo para comenzar a crear aplicaciones blockchain La forma más sencilla de crear aplicaciones blockchain en Python es descargar e instalar AlgoKit. Este conjunto de herramientas integral le permite crear, lanzar e implementar aplicaciones descentralizadas seguras y listas para producción en la cadena de bloques de Algorand. Con AlgoKit, puede configurar su entorno de desarrollo y carpeta de proyecto y comenzar a construir su proyecto con un solo comando. Descargar e instalar requisitos previos Asegúrese de haber instalado Python 3.12 o superior, pipx, Git y Docker. En macOS, también necesitarás instalar Homebrew. Instalar AlgoKit Abra la línea de comando/terminal y escriba «pipx install algokit». Esto instalará AlgoKit para que pueda usarlo en cualquier directorio. Configure una red blockchain local. Puede probar una versión privada de la cadena de bloques Algorand en su computadora. Escriba «algokit localnet start» en la línea de comando/terminal. Esto creará una red blockchain local que se ejecutará en un contenedor utilizando Docker. Luego puede consultar la aplicación Docker Desktop para verla ejecutándose. Para iniciar un explorador de blockchain basado en navegador para visualizar lo que está sucediendo en esta red local, escriba «algokit localnet explore». Cree un nuevo proyecto Ahora que AlgoKit está instalado, puede crear un nuevo proyecto para su aplicación blockchain. Primero, ejecute «algokit init». Esto iniciará un proceso guiado y se le pedirá que responda algunas preguntas rápidas para configurar su proyecto. Si es la primera vez, comience seleccionando «contratos inteligentes» para indicar que está creando una aplicación de contrato inteligente. Dado que escribirás código Python, selecciona «Python» como idioma y elige un nombre para la carpeta que almacenará todos los archivos de tu proyecto y un nombre para tu aplicación. Finalmente, elija la plantilla «Producción» para configurar un proyecto listo para su implementación. La plantilla de producción es como un kit de inicio prediseñado para su proyecto Algorand. Le brindará una imagen clara de cómo las diferentes partes, como las pruebas, la integración continua/entrega continua (CI/CD) y la implementación, funcionan juntas en un proyecto completo de Algorand. Luego, seleccione «Python» nuevamente. Responda S a las siguientes preguntas para que AlgoKit instale dependencias e inicialice un repositorio Git por usted. Una vez que haya completado el proceso de generación del proyecto, abra el directorio del proyecto en su editor de código preferido. Cómo crear aplicaciones blockchain seguras en Python Explore el código La plantilla «Producción» incluirá un contrato inteligente simple «hola mundo» que se encuentra en «smart_contracts/hello_world/contract.py». Este contrato debería resultar bastante familiar para los desarrolladores de Python con un par de diferencias clave. Lo primero que debemos tener en cuenta es que heredamos «ARC4Contract» para nuestra clase «HelloWorld». ARC4 es la Solicitud de comentario n.º 0004 de Algorand que define la interfaz binaria de la aplicación (ABI) para los métodos de Algorand. Al heredar de «ARC4Contract», garantizamos que el contrato cumple con este estándar que utilizan muchas herramientas en el ecosistema de Algorand, incluido el propio AlgoKit. Encima de la definición real del método «hola» también hay un decorador «@arc4.abimethod». Este decorador expone el método como un método público dentro de nuestro contrato. Debido a que este es un método ARC4 ABI, cualquier herramienta que admita ABI puede llamar a este método con facilidad. AlgoKit también incluye un generador de clientes, que puede generar un cliente Python o TypeScript para interactuar con todos los métodos ABI que haya definido. Finalmente, notarás que el argumento y el tipo de retorno de nuestra función es «arc4.String». ARC4 también define cómo codificamos y decodificamos tipos de datos cuando interactuamos con contratos. Debido a que la máquina virtual Algorand (AVM) no admite todas las mismas funciones que un «str» ​​de Python, necesitamos usar el tipo «arc4.String» proporcionado por el módulo «algopy». Compilar y compilar Puede utilizar «compilación de ejecución de proyecto algokit» para compilar el contrato inteligente escrito en Python nativo en TEAL, el lenguaje de código de bytes que AVM puede entender. La construcción también genera artefactos adicionales que pueden usarse para facilitar las interacciones con el contrato, como veremos en las pruebas. Interactuar y probar Para ver cómo se realizan la interacción y las pruebas del contrato, navegue hasta «tests/hello_world_test.py». Aquí puede ver que estamos utilizando HelloWorldClient que AlgoKit generó automáticamente durante el paso de compilación. Esto hace que sea muy fácil interactuar con el contrato y se puede aprovechar en pruebas, desarrollo de backend o frontend. Escribe tu código Después de explorar este proyecto y ejecutar tu primer «Hola Mundo», ¡estás listo para construir en Algorand! Puede convertir el contrato de ejemplo en su propia dApp, como un mercado, un administrador de activos tokenizados del mundo real o un almacén de datos inmutable en la cadena. Escriba su lógica de contrato inteligente en cadena en contract.py y las pruebas asociadas en «smart_contracts/tests». Vuelva a ejecutar «algokit project run build» para volver a compilar, implementar y probar el contrato en segundos. Ahora está preparado para iterar rápidamente mientras crea su propia aplicación mientras AlgoKit se encarga del código repetitivo y de la configuración del entorno de desarrollo. Para obtener más tutoriales sobre cómo usar Python para desarrollar Algorand con AlgoKit, visite el canal de YouTube de AlgoDevs. Para obtener más información sobre Algorand Python, consulte la documentación. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Vulnerabilidad crítica de SQLi encontrada en la aplicación de flujo de trabajo Fortra FileCatalyst

Vulnerabilidad crítica de SQLi encontrada en la aplicación de flujo de trabajo Fortra FileCatalyst

27 de junio de 2024Sala de prensaVulnerabilidad/Seguridad empresarial Se ha revelado una falla de seguridad crítica en Fortra FileCatalyst Workflow que, si no se parchea, podría permitir que un atacante altere la base de datos de la aplicación. Registrada como CVE-2024-5276, la vulnerabilidad tiene una puntuación CVSS de 9,8. Afecta a las versiones 5.1.6 Build 135 y anteriores de FileCatalyst Workflow. Se ha solucionado en la versión 5.1.6 build 139. «Una vulnerabilidad de inyección SQL en Fortra FileCatalyst Workflow permite a un atacante modificar los datos de la aplicación», dijo Fortra en un aviso publicado el martes. «Los posibles impactos incluyen la creación de usuarios administrativos y la eliminación o modificación de datos en la base de datos de la aplicación». También enfatizó que la explotación exitosa no autenticada requiere un sistema de flujo de trabajo con acceso anónimo habilitado. Alternativamente, un usuario autenticado también puede abusar de él. Los usuarios que no puedan aplicar los parches inmediatamente pueden desactivar los servlets vulnerables (csv_servlet, pdf_servlet, xml_servlet y json_servlet) en el archivo «web.xml» ubicado en el directorio de instalación de Apache Tomcat como solución temporal. La empresa de ciberseguridad Tenable, que informó sobre la falla el 22 de mayo de 2024, lanzó desde entonces un exploit de prueba de concepto (PoC) para la falla. «Se utiliza un ID de trabajo proporcionado por el usuario para formar la cláusula WHERE en una consulta SQL», decía. «Un atacante remoto anónimo puede ejecutar SQLi a través del parámetro JOBID en varios puntos finales URL de la aplicación web de flujo de trabajo». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Página 1 de 17

Funciona con WordPress & Tema de Anders Norén