역직렬화 취약점 패치의 어려움
La semana pasada, se informó de que una posible causa detrás de la violación de datos de Equifax era una vulnerabilidad en el plugin REST de Apache Struts. La versión más antigua del plugin es vulnerable a ataques de Ejecución Remota de Código cuando se utiliza con el manejador XStream para manejar cargas útiles XML. La causa es la deserialización de datos no confiables, que es un tipo de vulnerabilidad bien conocido. La vulnerabilidad, reconocida oficialmente como CVE-2017-9805, fue parcheada por Apache el 5 de septiembre en la versión 2.5.13 de Struts. Entonces se anunció y se documentó claramente en la documentación de Apache Struts.
La simple actualización a la versión más reciente de Struts puede proteger la aplicación de este ataque, así que ¿por qué las empresas no se actualizan inmediatamente? El problema con las vulnerabilidades de deserialización es que las rutinas que están siendo explotadas son a menudo aquellas en las que se basa el código de la aplicación. En este caso, aplicar el nuevo parche de Struts podría tener algunos efectos secundarios, como menciona la documentación sobre la vulnerabilidad: "Es posible que algunas acciones REST dejen de funcionar debido a las restricciones aplicadas por defecto a las clases disponibles". Es muy probable que asegurarse de que la aplicación siga funcionando en las nuevas versiones de Struts lleve algún tiempo.
Los hackers, sin embargo, no necesitan tanto tiempo para empezar a abusar de las vulnerabilidades publicadas, y ya podemos ver algunos exploits publicados. Un módulo de Metasploit fue añadido el 8 de septiembre, es decir, tres días después de que Apache parchease la vulnerabilidad. Está claro que posponer el parche no es una buena idea.
La solución es aplicar una solución sugerida por Apache, que podría hacerse en un plazo más corto. Una herramienta de seguridad con directrices de codificación configurables para hacer cumplir esta solución o incluso aplicarla automáticamente aceleraría enormemente este proceso.
¿Quiere saber más sobre cómo identificar y asegurar el código que contiene la deserialización de datos no fiables? Visite el portal Secure Code Warrior para obtener una explicación clara y un reto de formación.
La vulnerabilidad está relacionada con la forma en que Struts analiza ese tipo de datos y los convierte en información que puede ser interpretada por el lenguaje de programación Java. Cuando la vulnerabilidad se explota con éxito, se puede ocultar código malicioso dentro de esos datos y ejecutarlo cuando Struts intenta convertirlos.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
이 취약점은 Struts가 이러한 종류의 데이터를 파싱하여 Java 프로그래밍 언어가 해석할 수 있는 정보로 변환하는 방법과 관련이 있습니다.
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
La semana pasada, se informó de que una posible causa detrás de la violación de datos de Equifax era una vulnerabilidad en el plugin REST de Apache Struts. La versión más antigua del plugin es vulnerable a ataques de Ejecución Remota de Código cuando se utiliza con el manejador XStream para manejar cargas útiles XML. La causa es la deserialización de datos no confiables, que es un tipo de vulnerabilidad bien conocido. La vulnerabilidad, reconocida oficialmente como CVE-2017-9805, fue parcheada por Apache el 5 de septiembre en la versión 2.5.13 de Struts. Entonces se anunció y se documentó claramente en la documentación de Apache Struts.
La simple actualización a la versión más reciente de Struts puede proteger la aplicación de este ataque, así que ¿por qué las empresas no se actualizan inmediatamente? El problema con las vulnerabilidades de deserialización es que las rutinas que están siendo explotadas son a menudo aquellas en las que se basa el código de la aplicación. En este caso, aplicar el nuevo parche de Struts podría tener algunos efectos secundarios, como menciona la documentación sobre la vulnerabilidad: "Es posible que algunas acciones REST dejen de funcionar debido a las restricciones aplicadas por defecto a las clases disponibles". Es muy probable que asegurarse de que la aplicación siga funcionando en las nuevas versiones de Struts lleve algún tiempo.
Los hackers, sin embargo, no necesitan tanto tiempo para empezar a abusar de las vulnerabilidades publicadas, y ya podemos ver algunos exploits publicados. Un módulo de Metasploit fue añadido el 8 de septiembre, es decir, tres días después de que Apache parchease la vulnerabilidad. Está claro que posponer el parche no es una buena idea.
La solución es aplicar una solución sugerida por Apache, que podría hacerse en un plazo más corto. Una herramienta de seguridad con directrices de codificación configurables para hacer cumplir esta solución o incluso aplicarla automáticamente aceleraría enormemente este proceso.
¿Quiere saber más sobre cómo identificar y asegurar el código que contiene la deserialización de datos no fiables? Visite el portal Secure Code Warrior para obtener una explicación clara y un reto de formación.
La vulnerabilidad está relacionada con la forma en que Struts analiza ese tipo de datos y los convierte en información que puede ser interpretada por el lenguaje de programación Java. Cuando la vulnerabilidad se explota con éxito, se puede ocultar código malicioso dentro de esos datos y ejecutarlo cuando Struts intenta convertirlos.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
La semana pasada, se informó de que una posible causa detrás de la violación de datos de Equifax era una vulnerabilidad en el plugin REST de Apache Struts. La versión más antigua del plugin es vulnerable a ataques de Ejecución Remota de Código cuando se utiliza con el manejador XStream para manejar cargas útiles XML. La causa es la deserialización de datos no confiables, que es un tipo de vulnerabilidad bien conocido. La vulnerabilidad, reconocida oficialmente como CVE-2017-9805, fue parcheada por Apache el 5 de septiembre en la versión 2.5.13 de Struts. Entonces se anunció y se documentó claramente en la documentación de Apache Struts.
La simple actualización a la versión más reciente de Struts puede proteger la aplicación de este ataque, así que ¿por qué las empresas no se actualizan inmediatamente? El problema con las vulnerabilidades de deserialización es que las rutinas que están siendo explotadas son a menudo aquellas en las que se basa el código de la aplicación. En este caso, aplicar el nuevo parche de Struts podría tener algunos efectos secundarios, como menciona la documentación sobre la vulnerabilidad: "Es posible que algunas acciones REST dejen de funcionar debido a las restricciones aplicadas por defecto a las clases disponibles". Es muy probable que asegurarse de que la aplicación siga funcionando en las nuevas versiones de Struts lleve algún tiempo.
Los hackers, sin embargo, no necesitan tanto tiempo para empezar a abusar de las vulnerabilidades publicadas, y ya podemos ver algunos exploits publicados. Un módulo de Metasploit fue añadido el 8 de septiembre, es decir, tres días después de que Apache parchease la vulnerabilidad. Está claro que posponer el parche no es una buena idea.
La solución es aplicar una solución sugerida por Apache, que podría hacerse en un plazo más corto. Una herramienta de seguridad con directrices de codificación configurables para hacer cumplir esta solución o incluso aplicarla automáticamente aceleraría enormemente este proceso.
¿Quiere saber más sobre cómo identificar y asegurar el código que contiene la deserialización de datos no fiables? Visite el portal Secure Code Warrior para obtener una explicación clara y un reto de formación.
La vulnerabilidad está relacionada con la forma en que Struts analiza ese tipo de datos y los convierte en información que puede ser interpretada por el lenguaje de programación Java. Cuando la vulnerabilidad se explota con éxito, se puede ocultar código malicioso dentro de esos datos y ejecutarlo cuando Struts intenta convertirlos.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
La semana pasada, se informó de que una posible causa detrás de la violación de datos de Equifax era una vulnerabilidad en el plugin REST de Apache Struts. La versión más antigua del plugin es vulnerable a ataques de Ejecución Remota de Código cuando se utiliza con el manejador XStream para manejar cargas útiles XML. La causa es la deserialización de datos no confiables, que es un tipo de vulnerabilidad bien conocido. La vulnerabilidad, reconocida oficialmente como CVE-2017-9805, fue parcheada por Apache el 5 de septiembre en la versión 2.5.13 de Struts. Entonces se anunció y se documentó claramente en la documentación de Apache Struts.
La simple actualización a la versión más reciente de Struts puede proteger la aplicación de este ataque, así que ¿por qué las empresas no se actualizan inmediatamente? El problema con las vulnerabilidades de deserialización es que las rutinas que están siendo explotadas son a menudo aquellas en las que se basa el código de la aplicación. En este caso, aplicar el nuevo parche de Struts podría tener algunos efectos secundarios, como menciona la documentación sobre la vulnerabilidad: "Es posible que algunas acciones REST dejen de funcionar debido a las restricciones aplicadas por defecto a las clases disponibles". Es muy probable que asegurarse de que la aplicación siga funcionando en las nuevas versiones de Struts lleve algún tiempo.
Los hackers, sin embargo, no necesitan tanto tiempo para empezar a abusar de las vulnerabilidades publicadas, y ya podemos ver algunos exploits publicados. Un módulo de Metasploit fue añadido el 8 de septiembre, es decir, tres días después de que Apache parchease la vulnerabilidad. Está claro que posponer el parche no es una buena idea.
La solución es aplicar una solución sugerida por Apache, que podría hacerse en un plazo más corto. Una herramienta de seguridad con directrices de codificación configurables para hacer cumplir esta solución o incluso aplicarla automáticamente aceleraría enormemente este proceso.
¿Quiere saber más sobre cómo identificar y asegurar el código que contiene la deserialización de datos no fiables? Visite el portal Secure Code Warrior para obtener una explicación clara y un reto de formación.
La vulnerabilidad está relacionada con la forma en que Struts analiza ese tipo de datos y los convierte en información que puede ser interpretada por el lenguaje de programación Java. Cuando la vulnerabilidad se explota con éxito, se puede ocultar código malicioso dentro de esos datos y ejecutarlo cuando Struts intenta convertirlos.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Índice
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
