Se ha compartido en l\u00ednea un c\u00f3digo de prueba de concepto (PoC) que demuestra una vulnerabilidad de omisi\u00f3n de firma digital recientemente revelada en Java. <\/p>\n
\u00c9l falla de alta severidad<\/a> en cuesti\u00f3n, CVE-2022-21449<\/a> (puntuaci\u00f3n CVSS: 7,5), afecta a la siguiente versi\u00f3n de Java SE y Oracle GraalVM Enterprise Edition:<\/p>\n El problema reside en la implementaci\u00f3n de Java del algoritmo de firma digital de curva el\u00edptica (ECDSA<\/a>), un mecanismo criptogr\u00e1fico<\/a> para firmar digitalmente<\/a> mensajes y datos para verificar la autenticidad y la integridad de los contenidos.<\/p>\n En pocas palabras, el error criptogr\u00e1fico, denominado Psychic Signatures en Java, hace posible presentar una firma totalmente en blanco, que a\u00fan ser\u00eda percibida como v\u00e1lida por la implementaci\u00f3n vulnerable.<\/p>\n La explotaci\u00f3n exitosa de la falla podr\u00eda permitir a un atacante falsificar firmas y eludir las medidas de autenticaci\u00f3n implementadas.<\/p>\n El PoC, publicado por el investigador de seguridad, Khaled Nassar implica<\/a> un cliente vulnerable y un servidor TLS malicioso, el primero de los cuales acepta una firma no v\u00e1lida del servidor, lo que permite efectivamente la Apret\u00f3n de manos TLS<\/a> para continuar sin impedimentos.<\/p>\n “Es dif\u00edcil exagerar la gravedad de este error”, dijo el investigador de ForgeRock, Neil Madden, quien descubri\u00f3 e inform\u00f3 sobre la falla el 11 de noviembre de 2021. dicho<\/a>.<\/p>\n “Si est\u00e1 utilizando firmas ECDSA para cualquiera de estos mecanismos de seguridad, entonces un atacante puede pasarlos por alto de manera trivial y completa si su servidor ejecuta cualquier versi\u00f3n de Java 15, 16, 17 o 18”.<\/p>\n Desde entonces, Oracle ha abordado el problema como parte de su actualizaci\u00f3n de parche cr\u00edtico (CPU) trimestral de abril de 2022. publicado<\/a> el 19 de abril de 2022.<\/p>\n A la luz del lanzamiento de la PoC, se recomienda a las organizaciones que utilizan Java 15, Java 16, Java 17 o Java 18 en sus entornos que prioricen los parches para mitigar la explotaci\u00f3n activa.<\/p>\n <\/p>\n<\/div>\n\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Clave-maestra-para-Hive-Ransomware-recuperada-usando-una-falla-en.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/Investigador-publica-PoC-para-reciente-vulnerabilidad-criptografica-de-Java.gif\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n