El Hype del Error en Curl se Desvanece Después de su Parcheo

-

Anunciado durante días como potencialmente catastrófico, los fallos en curl solo afectan a un conjunto limitado de implementaciones.

Durante estos días, la comunidad de ciberseguridad ha esperado ansiosamente la gran revelación sobre dos fallos de seguridad que, según el fundador de curl, Daniel Stenberg, incluían uno que probablemente era "el peor fallo de seguridad en curl en mucho tiempo".

Curl es una herramienta de resolución de proxy de código abierto utilizada como un "intermediario" para transferir archivos entre varios protocolos, presente en literalmente miles de millones de instancias de aplicaciones. La sugerencia de una gran falla en una biblioteca de código abierto evocó recuerdos de la catastrófica falla en log4j en 2021. Según Alex Ilgayev, jefe de investigación de seguridad en Cycode, "la vulnerabilidad en la biblioteca curl podría resultar ser más desafiante que el incidente de Log4j hace dos años".

Pero tras la revelación de hoy de los parches y los detalles de los errores, ninguna de las vulnerabilidades estuvo a la altura del hype. Sin embargo, aún es importante que las organizaciones descubran si los errores están presentes en sus entornos (el último consejo técnico de Dark Reading cubre cómo escanear los entornos en busca de las vulnerabilidades en curl) y tomen medidas correctivas.

Impacto en un Número Limitado de Implementaciones de Curl

La primera vulnerabilidad, un fallo de desbordamiento de búfer basado en la pila, identificado con el CVE-2023-38545, recibió una calificación de "alta" debido al potencial de corrupción de datos o incluso de ejecución de código remoto (RCE). El problema radica en la transferencia del proxy SOCKS5, según el aviso.

"Cuando se le pide a curl que pase el nombre de host al proxy SOCKS5 para permitir que resuelva la dirección en lugar de que curl lo haga, la longitud máxima que puede tener el nombre de host es de 255 bytes", indicó el aviso. "Si se detecta que el nombre de host es más largo que 255 bytes, curl cambia a la resolución de nombres local y en su lugar pasa solo la dirección resuelta al proxy".

El error podría permitir que se transmita el valor incorrecto durante el handshake de SOCKS5.

"Debido a un error, la variable local que significa 'dejar que el host resuelva el nombre' podría obtener el valor incorrecto durante un handshake lento de SOCKS5 y, en contra de la intención, copiar el nombre de host demasiado largo en el búfer de destino en lugar de copiar solo la dirección resuelta allí", añadió el aviso.

Sin embargo, la designación de alta severidad solo se aplica a una fracción de las implementaciones, según el experto en ciberseguridad Jake Williams.

"Esto solo es de alta severidad en circunstancias muy limitadas", dice Williams. "Creo que es solo un problema que cuando tienes una vulnerabilidad en la biblioteca, no sabes cómo se está utilizando la biblioteca. Debes asignar el CVE asumiendo un peor escenario para la implementación".

El segundo error de curl, identificado con el CVE-2023-38546, es una falla de inyección de cookies de baja severidad que solo afecta a la biblioteca libcurl, no a curl en sí.

"Creo que este es un problema mayor para dispositivos de seguridad y dispositivos (que obtienen contenido no confiable y a menudo utilizan curl bajo el capó)", dijo Andy Hornegold, vicepresidente de producto en Intruder, en una declaración en reacción a la publicación de los detalles del error de curl. "No veo que sea un gran problema para el uso independiente".

Riesgos de Exagerar la Solución

Además de causar preocupación a los equipos de ciberseguridad, exagerar una solución antes de que se publiquen los detalles técnicos puede dar una victoria fácil a los actores de amenazas. En este caso, Williams señala que RedHat actualizó su registro de cambios antes del lanzamiento oficial de curl, lo que podría haber proporcionado a los atacantes cibernéticos información importante sobre objetivos no parcheados, si la vulnerabilidad hubiera sido tan peligrosa como se asumía anteriormente.

De hecho, Mike McGuire de Synopsys vio los peligros de la atención exagerada en la actualización de curl y escribió al respecto en un blog del 9 de octubre.

"A pesar de no tener detalles adicionales sobre la vulnerabilidad, los actores de amenazas sin duda comenzarán intentos de explotación", escribió McGuire. "Además, no es raro que los atacantes publiquen versiones 'corregidas' falsas de un proyecto plagadas de malware para aprovecharse de equipos que se apresuran a parchear software vulnerable."


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más