Tenable Research descubre una vulnerabilidad en software de código abierto ampliamente utilizado

Tenable, la empresa de Exposure Management, ha revelado que su equipo de Tenable Cloud Security Research descubrió una vulnerabilidad en OPA, uno de los motores de políticas más utilizados basado en software de código abierto.

La vulnerabilidad, registrada como CVE-2024-8260, es de autenticación forzada SMB de gravedad media y afecta a todas las versiones de Open Policy Agent (OPA) para Windows anteriores a la v0.68.0. La vulnerabilidad se debe a una validación incorrecta de la entrada, lo que permite a los usuarios pasar un recurso SMB arbitrario en lugar de un archivo Rego como argumento al OPA CLI o a una de las funciones de la biblioteca OPA Go.

La explotación exitosa de esta vulnerabilidad puede dar lugar a un acceso no autorizado al filtrar el hash Net-NTLMv2, es decir, las credenciales del usuario que está actualmente conectado al dispositivo Windows que ejecuta la aplicación OPA. Después de la explotación, el atacante podría retransmitir la autenticación a otros sistemas que admiten NTLMv2 o realizar un ataque de descifrado offline para extraer la contraseña.

El software de código abierto ofrece a las organizaciones de todos los tamaños la posibilidad de acelerar la innovación y el desarrollo de software a bajo o ningún costo. Sin embargo, depender de software de código abierto para construir aplicaciones a escala empresarial conlleva riesgos. Dos ejemplos claros de este problema son la vulnerabilidad Log4Shell, divulgada en diciembre de 2021, y el backdoor en XZ Utils revelado a principios de este año.

“A medida que los proyectos de código abierto se integran en soluciones generalizadas, es crucial constatar de que sean seguros y no expongan a los proveedores ni a sus clientes a una mayor superficie de ataque”, dijo Ari Eitan, director de Tenable Cloud Security Research. “Este descubrimiento de vulnerabilidad destaca la necesidad de colaboración entre los equipos de seguridad e ingeniería para mitigar estos riesgos”.

Recomendaciones de Tenable Research
Con un inventario de software instalado y un proceso sólido de gestión de parches, las organizaciones pueden garantizar que el software vulnerable en sistemas críticos se actualice tan pronto como haya un parche disponible. Gestionar proactivamente la exposición mediante un inventario unificado de activos permite a los equipos tener una visión holística de su entorno y riesgos, lo que les facilita priorizar los esfuerzos de remediación de manera efectiva. Además, las organizaciones deben minimizar la exposición pública de los servicios a menos que sea absolutamente necesario para proteger sus sistemas.

Styra solucionó el problema en la última versión de OPA (v0.68.0). Todas las instancias anteriores de OPA v0.68.0 que se ejecuten en Windows son vulnerables y deben actualizarse para evitar la explotación. Las organizaciones que utilicen el OPA CLI o el paquete OPA Go en Windows deben actualizar a la versión más reciente.

Lea la publicación de blog de hoy aquí: CVE-2024-8260: Una vulnerabilidad de autenticación forzada de SMB en OPA podría provocar una fuga de credenciales

  • BCH

    Entradas relacionadas

    Turistas locales: cómo recorrer tu ciudad con la ayuda de la Inteligencia Artificial
    • BCHBCH
    • diciembre 6, 2024

    No hace falta irse de viaje para ser turista: hoy, gracias a la Inteligencia Artificial (IA), las personas pueden descubrir los encantos escondidos de su propia ciudad o incluso de…

    Continue reading
    Panduit impulsa capacitaciones en infraestructura de red para el canal peruano

    Lima.- Panduit, líder mundial en soluciones de infraestructura física para sistemas de comunicaciones, sistemas eléctricos y distribución de Audio y Video para entornos empresariales, realizó recientemente una serie de capacitaciones…

    Continue reading

    ENTRETENIMIENTO

    ¡Susy Díaz se vuelve a lanzar con el 13!

    • By BCH
    • diciembre 8, 2024
    • 352 views
    ¡Susy Díaz se vuelve a lanzar con el 13!

    Javier Lobatón y con el Grupo 5 darán la serenata por el Bicentenario de Ayacucho

    • By BCH
    • diciembre 7, 2024
    • 458 views
    Javier Lobatón y con el Grupo 5 darán la serenata por el Bicentenario de Ayacucho

    América Televisión reveló sus novedades para el 2025

    América Televisión reveló sus novedades para el 2025

    Paddington en Perú: Ana Cecilia Natteri y Adriana Campos – Salazar darán sus voces para el doblaje latino

    • By BCH
    • diciembre 5, 2024
    • 468 views
    Paddington en Perú: Ana Cecilia Natteri y Adriana Campos – Salazar darán sus voces para el doblaje latino

    Paloma San Basilio: “Estoy muy emocionada de estar de regreso en el Perú”

    Paloma San Basilio: “Estoy muy emocionada de estar de regreso en el Perú”

    “Hellboy”, “Super/Man” y otras películas llegan a Claro video en diciembre

    “Hellboy”, “Super/Man” y otras películas llegan a Claro video en diciembre