{"id":1147541,"date":"2024-01-22T20:55:42","date_gmt":"2024-01-22T20:55:42","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-ataque-mavengate-podria-permitir-a-los-piratas-informaticos-secuestrar-java-y-android-a-traves-de-bibliotecas-abandonadas\/"},"modified":"2024-01-22T20:55:46","modified_gmt":"2024-01-22T20:55:46","slug":"el-ataque-mavengate-podria-permitir-a-los-piratas-informaticos-secuestrar-java-y-android-a-traves-de-bibliotecas-abandonadas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-ataque-mavengate-podria-permitir-a-los-piratas-informaticos-secuestrar-java-y-android-a-traves-de-bibliotecas-abandonadas\/","title":{"rendered":"El ataque MavenGate podr\u00eda permitir a los piratas inform\u00e1ticos secuestrar Java y Android a trav\u00e9s de bibliotecas abandonadas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/El-ataque-MavenGate-podria-permitir-a-los-piratas-informaticos-secuestrar.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha descubierto que varias bibliotecas p\u00fablicas y populares abandonadas pero que a\u00fan se utilizan en aplicaciones Java y Android son susceptibles a un nuevo m\u00e9todo de ataque a la cadena de suministro de software llamado MavenGate.<\/p>\n<p>&#8220;El acceso a los proyectos puede ser secuestrado mediante la compra de nombres de dominio y, dado que la mayor\u00eda de las configuraciones de compilaci\u00f3n predeterminadas son vulnerables, ser\u00eda dif\u00edcil o incluso imposible saber si se est\u00e1 realizando un ataque&#8221;, Oversecured <a rel=\"nofollow noopener\" href=\"https:\/\/blog.oversecured.com\/Introducing-MavenGate-a-supply-chain-attack-method-for-Java-and-Android-applications\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n<p>La explotaci\u00f3n exitosa de estas deficiencias podr\u00eda permitir a actores nefastos secuestrar artefactos en dependencias e inyectar c\u00f3digo malicioso en la aplicaci\u00f3n y, peor a\u00fan, incluso comprometer el proceso de compilaci\u00f3n a trav\u00e9s de un complemento malicioso.<\/p>\n<p>La firma de seguridad m\u00f3vil agreg\u00f3 que todas las tecnolog\u00edas basadas en Maven, incluido Gradle, son vulnerables al ataque y que envi\u00f3 informes a m\u00e1s de 200 empresas, incluidas Google, Facebook, Signal, Amazon y otras.<\/p>\n<p>Apache Maven es <a rel=\"nofollow noopener\" href=\"https:\/\/maven.apache.org\/what-is-maven.html\" target=\"_blank\">utilizado principalmente<\/a> para crear y administrar proyectos basados \u200b\u200ben Java, lo que permite a los usuarios descargar y administrar dependencias (que se identifican de forma \u00fanica por sus ID de grupo), crear documentaci\u00f3n y administrar versiones.<\/p>\n<p>Si bien los repositorios que albergan dichas dependencias pueden ser <a rel=\"nofollow noopener\" href=\"https:\/\/maven.google.com\/web\/index.html\" target=\"_blank\">privado<\/a> o <a rel=\"nofollow noopener\" href=\"https:\/\/mvnrepository.com\/\" target=\"_blank\">p\u00fablico<\/a>un atacante podr\u00eda apuntar a este \u00faltimo para realizar ataques de envenenamiento de la cadena de suministro aprovechando bibliotecas abandonadas agregadas a repositorios conocidos.<\/p>\n<p>En concreto, se trata de la compra de los caducados. <a rel=\"nofollow noopener\" href=\"https:\/\/maven.apache.org\/guides\/mini\/guide-naming-conventions.html\" target=\"_blank\">dominio invertido<\/a> controlado por el propietario de la dependencia y obteniendo acceso al groupId.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1705323196_227_Balada-Injector-infecta-mas-de-7100-sitios-de-WordPress-utilizando.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Un atacante puede obtener acceso a un ID de grupo vulnerable haciendo valer sus derechos sobre \u00e9l a trav\u00e9s de un registro TXT DNS en un repositorio donde no existe ninguna cuenta que administre el ID de grupo vulnerable&#8221;, dijo la compa\u00f1\u00eda.<\/p>\n<p>&#8220;Si un ID de grupo ya est\u00e1 registrado en el repositorio, un atacante puede intentar obtener acceso a ese ID de grupo comunic\u00e1ndose con el equipo de soporte del repositorio&#8221;.<\/p>\n<p>Para probar el escenario de ataque, Oversecured carg\u00f3 su propia biblioteca de prueba de Android (groupId: &#8220;com.oversecured&#8221;), que muestra el mensaje &#8220;\u00a1Hola mundo!&#8221; en Maven Central (versi\u00f3n 1.0), y al mismo tiempo carg\u00f3 dos versiones en JitPack. , donde la versi\u00f3n 1.0 es una r\u00e9plica de la misma biblioteca publicada en Maven Central.<\/p>\n<p>Pero la versi\u00f3n 1.1 es una copia editada &#8220;no confiable&#8221; que tambi\u00e9n tiene el mismo ID de grupo, pero que apunta a un repositorio de GitHub bajo su control y se reclama agregando un registro DNS TXT para hacer referencia al nombre de usuario de GitHub para poder <a rel=\"nofollow noopener\" href=\"https:\/\/central.sonatype.org\/publish\/requirements\/coordinates\/\" target=\"_blank\">establecer prueba de propiedad<\/a>.<\/p>\n<p>Luego, el ataque funciona agregando Maven Central y JitPack a la lista del repositorio de dependencia en el script de compilaci\u00f3n de Gradle.  Vale la pena se\u00f1alar en esta etapa que el <a rel=\"nofollow noopener\" href=\"https:\/\/docs.gradle.org\/current\/userguide\/declaring_repositories.html\" target=\"_blank\">orden de declaraci\u00f3n<\/a> Determina c\u00f3mo Gradle comprobar\u00e1 las dependencias en tiempo de ejecuci\u00f3n.<\/p>\n<p>&#8220;Cuando movimos el repositorio de JitPack por encima de mavenCentral, se descarg\u00f3 la versi\u00f3n 1.0 de JitPack&#8221;, dijeron los investigadores.  &#8220;Cambiar la versi\u00f3n de la biblioteca a 1.1 result\u00f3 en el uso de la versi\u00f3n JitPack independientemente de la posici\u00f3n de JitPack en la lista de repositorios&#8221;.<\/p>\n<p>Como resultado, un adversario que busque corromper la cadena de suministro de software puede atacar las versiones existentes de una biblioteca publicando una versi\u00f3n superior o contra nuevas versiones promocionando una versi\u00f3n inferior a la de su contraparte leg\u00edtima.<\/p>\n<p>Esta es otra forma de ataque de confusi\u00f3n de dependencias en la que un atacante publica un paquete no autorizado en un repositorio de paquetes p\u00fablico con el mismo nombre que un paquete dentro del repositorio privado previsto.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Nuevo-JinxLoader-dirigido-a-usuarios-con-malware-Formbook-y-XLoader.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;La mayor\u00eda de las aplicaciones no verifican la firma digital de las dependencias y muchas bibliotecas ni siquiera la publican&#8221;, agregaron los investigadores.  &#8220;Si el atacante quiere pasar desapercibido el mayor tiempo posible, tiene sentido lanzar una nueva versi\u00f3n de la biblioteca con el c\u00f3digo malicioso incorporado y esperar a que el desarrollador la actualice&#8221;.<\/p>\n<p>Del total de 33.938 dominios analizados, se descubri\u00f3 que 6.170 (18,18%) eran vulnerables a MavenGate, lo que permit\u00eda a los actores de amenazas secuestrar las dependencias e inyectar su propio c\u00f3digo.<\/p>\n<p>Sonatype, propietaria de Maven Central, <a rel=\"nofollow noopener\" href=\"https:\/\/www.sonatype.com\/sonatypes-ongoing-commitment-to-maven-central\" target=\"_blank\">dicho<\/a> La estrategia de ataque descrita &#8220;no es factible debido a la automatizaci\u00f3n existente&#8221;, pero se\u00f1al\u00f3 que ha &#8220;deshabilitado todas las cuentas asociadas con dominios caducados y proyectos de GitHub&#8221; como medida de seguridad.<\/p>\n<p>Dijo adem\u00e1s que abord\u00f3 una &#8220;regresi\u00f3n en el proceso de validaci\u00f3n de clave p\u00fablica&#8221; que hizo posible cargar artefactos al repositorio con una clave no compartida p\u00fablicamente.  Tambi\u00e9n ha anunciado planes para colaborar con SigStore para firmar digitalmente los componentes.<\/p>\n<p>&#8220;El desarrollador final es responsable de la seguridad no s\u00f3lo de las dependencias directas, sino tambi\u00e9n de las transitivas&#8221;, dijo Oversecured.<\/p>\n<p>&#8220;Los desarrolladores de bibliotecas deben ser responsables de las dependencias que declaran y tambi\u00e9n escribir hashes de clave p\u00fablica para sus dependencias, mientras que el desarrollador final debe ser responsable s\u00f3lo de sus dependencias directas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/hackers-hijack-popular-java-and-android.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha descubierto que varias bibliotecas p\u00fablicas y populares abandonadas pero que a\u00fan se utilizan en aplicaciones Java<\/p>\n","protected":false},"author":1,"featured_media":1147542,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[6298,4657,4656,8514,1247,4661,7353,4664,4662,6214,4770,4668,201033,36,226826,4654,201031,4659,4653,4655,1515,6213,2916,33981,4666,4665,201032,116,4660],"class_list":["post-1147541","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-abandonadas","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-android","tag-ataque","tag-ataques-ciberneticos","tag-bibliotecas","tag-como-hackear","tag-filtracion-de-datos","tag-informaticos","tag-java","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-mavengate","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-permitir","tag-piratas","tag-podria","tag-secuestrar","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-traves","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1147541","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1147541"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1147541\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1147542"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1147541"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1147541"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1147541"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}