Vulnerabilidad – Dependency Confusion

Vulnerabilidad Dependency Confusion

El cazador de recompenzas de errores informáticos, Alex Birsan, ganador del primer lugar en “las 10 principales nuevas técnicas de piratería web 2021” publicado por Portswigger. Expuso en su blog el día 9 de Febrero de 2022, la vulnerabilidad “Dependency Confusion “que le permitió encontrar fallas críticas de diseño y configuración que afecta a los principales administradores de paquetes como NPM.

 

 “Dependency Confusion” puede permitir que un atacante ejecute malware dentro de las Redes de una empresa reemplazando los paquetes de dependencia de uso privado con paquetes públicos maliciosos del mismo nombre.

 

El cazador de recompenzas, expuso que de manera preocupante, en el ataque no necesito ninguna interacción del desarrollador para tener éxito, enviando  la información a sí mismo mendiante la exfiltración de DNS para evadir la detección.

Birsan escribió y agregó que gran mayoría de las empresas afectadas se encuentran en la categoría +1K Empleados. Cabe destacar que está vulnerabilidad ha llegado a afectar a empresas como Apple, Microsoft, PayPal, Netflix, Tesla, entre otras organizaciones importantes. 

De acuerdo con el portal Medium Apple y Microsoft  han confirmado que el problema con esta vulnerabilidad ya ha sido solucionado.

Si requieres ayuda para identificar, detectar, gestionar el riesgo o eliminar esta vulnerabildad de tus servidores o equipos empresariales, no dudes en contactarnos para proveerte apoyo por parte de un profesional altamente calificado en la materia.

TrustDimension, seguridad en la que puedes confiar.

Fuentes: https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610

https://portswigger.net/research/top-10-web-hacking-techniques-of-2021

 

Deja tus datos y descarga el más reciente informe de Vulnerabilidades. La protección comienza aquí.

 


Comments are closed.