Fallo crítico en Cloudflare, 42k secretos filtrados y malware en VS Code
Resumen del día
Hoy analizamos tres noticias que han puesto en alerta a desarrolladores y administradores de sistemas en todo el mundo. Desde vulnerabilidades de bypass en la infraestructura de Cloudflare hasta una exposición masiva de credenciales en aplicaciones modernas.
Cloudflare corrige una vulnerabilidad crítica que permitía saltar el WAF y acceder a servidores de origen
Cloudflare, el gigante de la infraestructura web, ha anunciado la resolución de un fallo de seguridad crítico en su lógica de validación de certificados ACME. La vulnerabilidad, identificada por investigadores de la firma FearsOff, permitía a atacantes potenciales eludir las protecciones del Firewall de Aplicaciones Web (WAF) para acceder directamente a los servidores de origen de los clientes.El origen del fallo: El protocolo ACMEEl problema radicaba en cómo la red perimetral de Cloudflare gestionaba las solicitudes dirigidas a la ruta de validación HTTP-01 del protocolo ACME (Automatic Certificate Management Environment). Esta ruta, ubicada bajo el directorio /.well-known/acme-challenge/, es utilizada por las autoridades de certificación para verificar automáticamente la...
Investigación revela crisis de seguridad: más de 42,000 "secretos" expuestos en paquetes de JavaScript
Una reciente investigación a gran escala ha puesto al descubierto una falla crítica en la seguridad de las aplicaciones modernas. El equipo de investigación de la firma Intruder reveló que, tras escanear 5 millones de aplicaciones web, se detectaron más de 42,000 tokens y claves de API expuestas directamente en los paquetes (bundles) de JavaScript, accesibles para cualquier atacante con un navegador web.El punto ciego del "Shift-Left"El informe destaca una realidad preocupante: aunque muchas empresas han implementado controles de "shift-left" (seguridad desde el inicio del desarrollo), como el escaneo de repositorios y herramientas de análisis estático (SAST), los secretos siguen llegando a producción.El problema surge a menudo durante las etapas de construcción y despliegue. Las...
Investigadores de la firma Trend Micro han emitido una alerta crítica sobre una nueva campaña de malware denominada "Evelyn Stealer". Este sofisticado infostealer está diseñado específicamente para atacar a la comunidad de desarrolladores de software, utilizando el ecosistema de extensiones de Microsoft Visual Studio Code (VS Code) como vector principal de infección.El desarrollador como objetivo de alto valorA diferencia de los ataques masivos genéricos, Evelyn Stealer tiene un enfoque quirúrgico. Según el análisis publicado este lunes, los atacantes buscan comprometer entornos de desarrollo porque estos suelen ser "puntos de entrada dorados" hacia la infraestructura profunda de las organizaciones, incluyendo sistemas de producción, recursos en la nube y activos...
