{"id":1259577,"date":"2024-07-01T17:49:08","date_gmt":"2024-07-01T17:49:08","guid":{"rendered":"https:\/\/teknomers.com\/es\/fallas-criticas-en-cocoapods-exponen-aplicaciones-ios-y-macos-a-ataques-a-la-cadena-de-suministro\/"},"modified":"2024-07-01T17:49:13","modified_gmt":"2024-07-01T17:49:13","slug":"fallas-criticas-en-cocoapods-exponen-aplicaciones-ios-y-macos-a-ataques-a-la-cadena-de-suministro","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/fallas-criticas-en-cocoapods-exponen-aplicaciones-ios-y-macos-a-ataques-a-la-cadena-de-suministro\/","title":{"rendered":"Fallas cr\u00edticas en CocoaPods exponen aplicaciones iOS y macOS a ataques a la cadena de suministro"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">01 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Cadena de suministro \/ Seguridad del software<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Fallas-criticas-en-CocoaPods-exponen-aplicaciones-iOS-y-macOS-a.gif\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se han descubierto tres fallos de seguridad en el <a rel=\"nofollow noopener\" href=\"https:\/\/cocoapods.org\/\" target=\"_blank\">Vainas de cacao<\/a> Administrador de dependencias para proyectos Cocoa de Swift y Objective-C que podr\u00edan explotarse para organizar ataques a la cadena de suministro de software, poniendo en grave riesgo a los clientes posteriores.<\/p>\n<p>Las vulnerabilidades permiten que &#8220;cualquier actor malicioso reclame la propiedad de miles de pods no reclamados e inserte c\u00f3digo malicioso en muchas de las aplicaciones iOS y macOS m\u00e1s populares&#8221;, dijeron los investigadores de EVA Information Security Reef Spektor y Eran Vaknin. <a rel=\"nofollow noopener\" href=\"https:\/\/www.evasec.io\/blog\/eva-discovered-supply-chain-vulnerabities-in-cocoapods\" target=\"_blank\">dicho<\/a> en un informe publicado hoy.<\/p>\n<p>La empresa israel\u00ed de seguridad de aplicaciones dijo que los tres problemas ya se han solucionado. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cocoapods.org\/CocoaPods-Trunk-RCEs-2023\/\" target=\"_blank\">parcheado<\/a> por CocoaPods a partir de octubre de 2023. Tambi\u00e9n restablece todas las sesiones de usuario en ese momento en respuesta a las divulgaciones.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718513814_760_Hacker-britanico-vinculado-al-notorio-grupo-de-aranas-dispersas-arrestado.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Una de las vulnerabilidades es CVE-2024-38368 (puntuaci\u00f3n CVSS: 9,3), que hace posible que un atacante abuse de &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/blog.cocoapods.org\/Claim-Your-Pods\/\" target=\"_blank\">Reclama tus c\u00e1psulas<\/a>&#8221; procesan y toman el control de un paquete, lo que les permite alterar el c\u00f3digo fuente e introducir cambios maliciosos. Sin embargo, esto requer\u00eda que todos los mantenedores anteriores hubieran sido eliminados del proyecto.<\/p>\n<p>Las ra\u00edces del problema se remontan a 2014, cuando se produjo una migraci\u00f3n hacia el <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cocoapods.org\/CocoaPods-Trunk\/\" target=\"_blank\">Servidor troncal<\/a> dej\u00f3 miles de paquetes con nombres desconocidos (o <a rel=\"nofollow noopener\" href=\"https:\/\/cocoapods.org\/owners\/7\" target=\"_blank\">no reclamado<\/a>) propietarios, lo que permit\u00eda a un atacante utilizar una API p\u00fablica para reclamar pods y una direcci\u00f3n de correo electr\u00f3nico que estaba disponible en el c\u00f3digo fuente de CocoaPods (&#8220;unclaimed-pods@cocoapods.org&#8221;) para tomar el control.<\/p>\n<p>El segundo error es a\u00fan m\u00e1s cr\u00edtico (CVE-2024-38366, puntuaci\u00f3n CVSS: 10.0) y aprovecha un flujo de trabajo de verificaci\u00f3n de correo electr\u00f3nico inseguro para ejecutar c\u00f3digo arbitrario en el servidor Trunk, que luego podr\u00eda usarse para manipular o reemplazar los paquetes.<\/p>\n<p><iframe loading=\"lazy\" title=\"CVE-2024-38366\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/nO84n2v3ZyM?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>Tambi\u00e9n se identifica en el servicio un segundo problema en el componente de verificaci\u00f3n de direcci\u00f3n de correo electr\u00f3nico (CVE-2024-38367, puntuaci\u00f3n CVSS: 8,2) que podr\u00eda incitar a un destinatario a hacer clic en un enlace de verificaci\u00f3n aparentemente benigno, cuando, en realidad, redirige el enlace. solicitud a un dominio controlado por un atacante para obtener acceso a los tokens de sesi\u00f3n de un desarrollador.<\/p>\n<p>Para empeorar las cosas, esto puede convertirse en un ataque de apropiaci\u00f3n de cuenta sin hacer clic falsificando un encabezado HTTP, es decir, modificando el <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/Headers\/X-Forwarded-Host\" target=\"_blank\">X-host reenviado<\/a> campo de encabezado y aprovechar herramientas de seguridad de correo electr\u00f3nico mal configuradas.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-amplia-los-objetivos-de-los-ciberataques-en-Rusia.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;Hemos descubierto que casi todos los propietarios de pods est\u00e1n registrados con el correo electr\u00f3nico de su organizaci\u00f3n en el servidor Trunk, lo que los hace vulnerables a nuestra vulnerabilidad de adquisici\u00f3n sin clic&#8221;, dijeron los investigadores.<\/p>\n<p>Esta no es la primera vez que CocoaPods pasa por el esc\u00e1ner.  En marzo de 2023, Checkmarx <a rel=\"nofollow noopener\" href=\"https:\/\/zero.checkmarx.com\/this-is-how-i-hijacked-cocoapods-subdomain-using-github-pages-4e368e849022\" target=\"_blank\">revel\u00f3<\/a> que un subdominio abandonado asociado con el administrador de dependencias (&#8220;cdn2.cocoapods[.]org&#8221;) podr\u00eda haber sido secuestrado por un adversario a trav\u00e9s de p\u00e1ginas de GitHub con el objetivo de alojar sus cargas \u00fatiles.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/critical-flaws-in-cocoapods-expose-ios.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80201 de julio de 2024\ue804Sala de prensaCadena de suministro \/ Seguridad del software Se han descubierto tres fallos<\/p>\n","protected":false},"author":1,"featured_media":1259579,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,8343,2346,4661,3580,240204,4664,2026,26487,3233,4662,12229,4668,201033,34079,239182,4654,4658,4659,4653,4655,4666,4665,2751,4660],"class_list":["post-1259577","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aplicaciones","tag-ataques","tag-ataques-ciberneticos","tag-cadena","tag-cocoapods","tag-como-hackear","tag-criticas","tag-exponen","tag-fallas","tag-filtracion-de-datos","tag-ios","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-macos","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-suministro","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1259577","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1259577"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1259577\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1259579"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1259577"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1259577"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1259577"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}