Contenido Exclusivo

Tenable descubre una vulnerabilidad en software de código abierto

Tenable, la empresa de gestión de exposición, ha revelado que su equipo de Tenable Cloud Security Research ha descubierto una vulnerabilidad en OPA es uno de los motores de políticas más utilizados, basado en software de código abierto.

“A medida que los proyectos de código abierto se integran en soluciones generalizadas, es crucial asegurarse de que sean seguros y no expongan a los proveedores ni a sus clientes a una mayor superficie de ataque”, dijo Ari Eitan, director de Tenable Cloud Security Research. “Este descubrimiento de vulnerabilidad destaca la necesidad de colaboración entre los equipos de seguridad e ingeniería para mitigar estos riesgos”.

La vulnerabilidad, registrada como CVE-2024-8260, es de autenticación forzada SMB de gravedad media y afecta a todas las versiones de Open Policy Agent (OPA) para Windows anteriores a la v0.68.0. La vulnerabilidad se debe a una validación incorrecta de la entrada, lo que permite a los usuarios pasar un recurso SMB arbitrario en lugar de un archivo Rego como argumento al OPA CLI o a una de las funciones de la biblioteca OPA Go.

La explotación exitosa de esta vulnerabilidad puede dar lugar a un acceso no autorizado al filtrar el hash Net-NTLMv2, es decir, las credenciales del usuario que está actualmente conectado al dispositivo Windows que ejecuta la aplicación OPA. Después de la explotación, el atacante podría retransmitir la autenticación a otros sistemas que admitan NTLMv2 o realizar un ataque de descifrado offline para extraer la contraseña.

El software de código abierto ofrece a las organizaciones de todos los tamaños la posibilidad de acelerar la innovación y el desarrollo de software a bajo o ningún costo. Sin embargo, depender de software de código abierto para construir aplicaciones a escala empresarial conlleva riesgos. Dos ejemplos claros de este problema son la vulnerabilidad Log4Shell, divulgada en diciembre de 2021, y el backdoor en XZ Utils revelado a principios de este año.

Lo Más Reciente

Pagos seguros y confianza para un Buen Fin

El Buen Fin se consolida como uno de los...

México a la vanguardia de la robótica colaborativa: Un análisis del panorama industrial

La robótica colaborativa está marcando una nueva era en...

Tecnología y fraude digital: México en el Índice Global de Fraude 2024

Sumsub publica el Índice Global de Fraude, el primer...

VIDEO: “La posición de un CIO es la más importante en una organización”

“El CIO conoce todos los departamentos de una organización,...

Newsletter

Recibe lo último en noticias e información exclusiva.

Pagos seguros y confianza para un Buen Fin

El Buen Fin se consolida como uno de los eventos comerciales más importantes en México, generando un aumento significativo en el volumen de transacciones...

México a la vanguardia de la robótica colaborativa: Un análisis del panorama industrial

La robótica colaborativa está marcando una nueva era en la industria manufacturera mundial. Los robots colaborativos, conocidos como cobots, son diseñados para trabajar junto...

Tecnología y fraude digital: México en el Índice Global de Fraude 2024

Sumsub publica el Índice Global de Fraude, el primer estudio detallado de 103 países que ofrece una visión completa del riesgo de fraude digital....