Tags populares:
Virtualización seguridad DNS verificación formal análisis de alcanzabilidad errores del compilador conflicto de macro extensión web framework de desarrollo Gráficos de mapa de bits inconsistencias de API Todos los tags

Vulnerabilidades Críticas en Azure: Roles Mal Configuradas y Fuga de Clave VPN

2025-07-02
Vulnerabilidades Críticas en Azure: Roles Mal Configuradas y Fuga de Clave VPN

Investigadores de seguridad han descubierto varias funciones integradas de Azure mal configuradas que otorgan permisos excesivos. Combinado con una vulnerabilidad en la API de Azure que permite fugas de claves VPN, esto crea una cadena de ataque que permite a un usuario con pocos privilegios acceder a activos de nube internos y redes locales. La investigación detalla el proceso de descubrimiento, las implicaciones y las estrategias de mitigación. Se encontraron diez roles integrados con privilegios excesivos, mientras que la vulnerabilidad de fuga de clave VPN ha sido solucionada por Microsoft. Las recomendaciones incluyen auditar los roles problemáticos, utilizar ámbitos limitados y crear roles personalizados con permisos granulares.

Leer más
(www.token.security)
Tecnología Escalada de Privilegios Fuga de Clave VPN

Fallo crítico en la herramienta de AWS: Vulnerabilidad de escalada de privilegios

2025-05-05
Fallo crítico en la herramienta de AWS: Vulnerabilidad de escalada de privilegios

La empresa de seguridad Token Security descubrió una vulnerabilidad crítica en la herramienta Account Assessment de AWS. Diseñada para auditar el acceso entre cuentas, sus instrucciones de implementación animaron inadvertidamente a los usuarios a implementar el rol central en cuentas menos seguras (como desarrollo), creando rutas de confianza peligrosas desde entornos inseguros a entornos altamente sensibles (como producción). Esto permitió la escalada de privilegios, otorgando potencialmente a los atacantes el control de toda la organización de AWS. AWS corrigió el problema el 28 de enero de 2025, actualizando la documentación para recomendar implementar el rol central en una cuenta tan segura como la cuenta de administración. Las organizaciones afectadas deben verificar sus implementaciones y remediarlas según corresponda.

Leer más
(www.token.security)
Tecnología Seguridad de AWS Acceso entre cuentas

Rastreando la propiedad de identidades no humanas generadas por IaC

2025-04-09
Rastreando la propiedad de identidades no humanas generadas por IaC

Las herramientas de Infraestructura como Código (IaC) permiten la creación rápida de numerosas identidades no humanas (NHI) en entornos en la nube. Sin embargo, rastrear a los propietarios de estas NHI generadas por IaC representa un desafío significativo. Esta entrada de blog explora un enfoque basado en etiquetas, agregando etiquetas al código de Terraform para rastrear los archivos involucrados en la creación de recursos y, de este modo, identificar a los propietarios de NHI. Si bien este enfoque enfrenta obstáculos prácticos, como la herencia de etiquetas y la compatibilidad entre plataformas, ofrece una solución potencial para los problemas de propiedad de NHI generadas por IaC y ayuda a los equipos de DevOps a rastrear y gestionar mejor sus identidades IaC.

Leer más
(www.token.security)
Desarrollo