En el resumen de esta semana, hablaremos de:
- Vulnerabilidad de día cero en el plugin WPGateway para WordPress
- Vulnerabilidad de elevación de privilegios en el código de Visual Studio
- Aspectos destacados del Informe sobre el estado de la seguridad en la nube 2022 de Snyk
Día cero en el plugin WPGateway
CVE-2022-3180 es un fallo de día cero en la última versión de un plugin premium de WordPress conocido como WPGateway que está siendo activamente explotado, permitiendo potencialmente a actores maliciosos hacerse con el control total de los sitios afectados. Con una puntuación CVSS de 9,8, esta vulnerabilidad está siendo utilizada como arma para añadir usuarios administradores maliciosos a los sitios que ejecutan el plugin WPGateway, como señala la empresa de seguridad de WordPress Wordfence.
Cómo comprobar si un sitio web se ha visto comprometido:
- El indicador más común es la presencia de un administrador con el nombre de usuario "rangex".
- Otra forma de detectar si un sitio web está comprometido es buscar la aparición de peticiones a "//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1" en los registros de acceso, aunque no implica necesariamente una brecha exitosa.
Wordfence retiene más detalles sobre la vulnerabilidad, debido a la explotación y para evitar que los actores maliciosos se aprovechen. También recomienda a los usuarios que eliminen el plugin de su WordPress hasta que haya un parche disponible para él.
Elevación de privilegios del código de Visual Studio
CVE-2022-38020 es una vulnerabilidad de elevación de privilegios que existe en VS Code v1.71.0 y versiones anteriores donde, en una máquina Windows compartida, un atacante con pocos privilegios puede crear un ejecutable .exebash en una ubicación donde se detecten perfiles de terminal. Este perfil detectado queda entonces expuesto en la lista de perfiles de terminal y puede ser ejecutado fácilmente por el usuario vulnerable. Las rutas en cuestión eran:
- C:Cygwin64\bin\bash.exe
- C:Cygwin\bin\bash.exe
- C:\ProgramData\scoop\apps\git-with-openssh\current\bin\bash.exe
La corrección está disponible a partir de VS Code 1.71.1. La corrección(0b356bf) mitiga este ataque eliminando completamente esas rutas de la función de detección de perfiles de terminal. También se pueden aplicar otras soluciones, que incluyen evitar la ejecución de perfiles de terminal que no se espera que estén instalados en la máquina. Un administrador podría bloquear las carpetas en cuestión.
Aspectos destacados del Informe sobre el estado de la seguridad en la nube 2022 de Snyk
- El 80% de las organizaciones sufrieron un incidente grave de seguridad en la nube durante el año pasado..
- Las nuevas empresas de rápido crecimiento fueron las más afectadas, con un 89%. Las entidades del sector público (gubernamentales y sin ánimo de lucro) sufrieron prácticamente lo mismo.
- En los incidentes basados en casos de uso: las empresas que utilizan la nube principalmente como plataforma para alojar aplicaciones migradas desde un centro de datos notificaron incidentes graves de seguridad en la nube en el último año (89%), mientras que las empresas que utilizan la nube para alojar aplicaciones de terceros notificaron incidentes en la nube en un 78%, y los equipos que utilizan la nube como plataforma para ejecutar y crear aplicaciones internas notificaron incidentes en un 73%, lo que podría explicarse por tener más visibilidad y control sobre el entorno.
- La seguridad de la infraestructura como código (IaC) ofrece a los equipos la oportunidad de verificar la seguridad de la infraestructura de la nube en una fase más temprana del SDLC (antes de la implantación), lo que puede ahorrar tiempo y reducir la frecuencia de los problemas de desconfiguración en tiempo de ejecución.
- La seguridad IaC reduce las desconfiguraciones en un 70%, y el retorno de la inversión en seguridad IaC en términos de aumento de la productividad y velocidad de despliegue se sitúa en una media del 70% para ambos.
- Cinco recomendaciones para mejorar la seguridad en la nube:
- Conozca su entorno: Manténgase al tanto de cada recurso que se ejecuta en su entorno de nube, cómo está configurado cada recurso y cómo se relacionan entre sí.
- Céntrese en la prevención y el diseño seguro: La forma de evitar las brechas en la nube es prevenir las condiciones que las hacen posibles, incluidas las desconfiguraciones de recursos y los fallos de diseño arquitectónico.
- Permita a los desarrolladores de la nube construir y operar de forma segura: A medida que se generaliza la adopción de la infraestructura como código, los ingenieros de la nube necesitan herramientas para garantizar la seguridad en las fases de diseño y desarrollo del SDLC.
- Alinee y automatice con Policy as Code (PAC): Cuando las políticas de seguridad se expresan únicamente en lenguaje humano y existen en documentos PDF, es como si no existieran.
- Mida lo que importa y haga operativa la seguridad en la nube: La seguridad en la nube es cuestión de disciplina operativa y de implantar los procesos adecuados.
El informe completo SNYK Report: Estado de la seguridad en la nube 2022 puede consultarse aquí.
Comentarios