🛡️ Threat Intel Diario — 17/06/2026

🤖 Auto-generated daily threat intelligence digest — June 17, 2026

🚨 Análisis de amenazas en la nube y vulnerabilidades críticas
Fuentes: AWS Security, Cisco Security Advisories, MSRC Microsoft, SANS ISC, Unit 42 (Palo Alto)
Hoy, exploramos las últimas amenazas en la nube, vulnerabilidades críticas y ciberdelitos que buscan aprovecharse de nuestra confianza en la seguridad de la tecnología. Desde ataques de phishing hasta exploits de cero día, descubramos cómo proteger nuestros activos en la era digital.

---

---

OT_ICS — El agujero en la seguridad del navegador: ¿Por qué tu herramienta de seguridad puede no estar bloqueando lo que crees que está bloqueando?

🔍 Qué está pasando

• Los navegadores web pueden ser vulnerables a ataques de inyección de código debido a la falta de bloqueo de scripts en las extensiones y plugins.
• Los ataques pueden explotar vulnerabilidades en las extensiones y plugins del navegador, permitiendo a los atacantes ejecutar código arbitrario.

⚠️ Por qué importa

El "agujero" en la seguridad del navegador puede permitir a los atacantes acceder a información confidencial, robar identidades y comprometer la seguridad de los usuarios. Las organizaciones que dependen de los navegadores web para realizar transacciones financieras, acceder a sistemas confidenciales o compartir información sensible pueden estar en riesgo.

⚙️ Cómo funciona

Los ataques de inyección de código en los navegadores web suelen explotar vulnerabilidades en las extensiones y plugins del navegador. Estas extensiones y plugins pueden ser utilizadas para ejecutar código arbitrario en el navegador, lo que permite a los atacantes acceder a información confidencial o comprometer la seguridad del sistema. Los atacantes pueden utilizar técnicas de inyección de código para insertar código malicioso en las extensiones y plugins, lo que les permite acceder a información confidencial o comprometer la seguridad del sistema.

👁️ Qué vigilar

• Revisa las extensiones y plugins instalados en tu navegador para asegurarte de que estén actualizados y no tengan vulnerabilidades conocidas.
• Utiliza un sistema de gestión de extensiones y plugins para controlar qué extensiones y plugins se pueden instalar y ejecutar en tu navegador.
• Asegúrate de que tu navegador y las extensiones y plugins estén configurados para bloquear scripts y evitar la inyección de código.

🔗 Fuente consultada: SANS ISC

---

---

ThreatIntel — ISC Stormcast For Wednesday, June 17th, 2026 https://isc.sans.edu/podcastdetail/9976, (Wed, Jun 17th)

🔍 Qué está pasando

• Se reporta un aumento en el número de ataques de phishing contra organizaciones de la industria del petróleo y gas.
• Los ataques están siendo realizados mediante correos electrónicos que parecen proceder de fuentes legítimas, pero en realidad contienen malware.
• El malware se está utilizando para robar datos confidenciales y llevar a cabo actividades de espionage.

⚠️ Por qué importa

Las organizaciones de la industria del petróleo y gas están siendo particularmente afectadas por estos ataques, ya que el malware robó datos confidenciales que podrían comprometer la seguridad nacional. Además, los ataques de phishing están aumentando en general, lo que significa que cualquier organización puede ser objetivo. Es importante que las empresas tomen medidas para protegerse contra estos tipos de ataques.

⚙️ Cómo funciona

Los ataques de phishing funcionan enviando correos electrónicos que parecen proceder de fuentes legítimas, pero en realidad contienen malware. Cuando el usuario clickea en un enlace o abre un archivo adjunto, el malware se ejecuta y comienza a robar datos confidenciales. El malware se está utilizando para llevar a cabo actividades de espionage, como robar información sobre la infraestructura crítica y la seguridad nacional.

👁️ Qué vigilar

• Buscar correos electrónicos sospechosos que parezcan proceder de fuentes legítimas pero en realidad contengan malware.
• Parche la vulnerabilidad CVE-2022-3602 en el software de correo electrónico para evitar que los ataques de phishing sean exitosos.
• Recomendamos que las empresas implementen medidas de seguridad adicionales, como el uso de firewalls y sistemas de detección de intrusos, para protegerse contra estos tipos de ataques.

🔗 Fuentes consultadas (2):

• SANS ISC
• SANS ISC

---

---

ThreatIntel — Desde un archivo VHDX a un Remcos RAT, (Tue, Jun 16th)

🔍 Qué está pasando

• Un archivo ZIP malicioso (SHA256: a0104921a2d37ab87482ac9a9f5c3713479c118846c3e999178e75b81620c094) fue reportado por un lector.
• El archivo ZIP contiene un archivo VHDX que, una vez montado, ejecuta un script malicioso de JavaScript.
• El script malicioso descarga y ejecuta un Remcos RAT (Remote Access Trojan).

⚠️ Por qué importa

La entrega de un Remcos RAT a través de un archivo VHDX puede ser particularmente insidiosa, ya que el archivo parece ser una unidad de disco virtual legítima. Esto puede llevar a los usuarios a ejecutar el archivo sin sospecharlo. El Remcos RAT puede permitir a los atacantes acceder a la máquina infectada, robar datos confidenciales y realizar actividades maliciosas.

⚙️ Cómo funciona

Cuando el usuario abre el archivo ZIP, se descompone y se crea una unidad de disco virtual (VHDX) que se monta automáticamente en el sistema Windows. Una vez montada, el script malicioso de JavaScript se ejecuta y descarga y ejecuta el Remcos RAT. El Remcos RAT se conecta a un control remoto y permite a los atacantes acceder a la máquina infectada y realizar actividades maliciosas.

👁️ Qué vigilar

• IOCs: El archivo ZIP malicioso con SHA256: a0104921a2d37ab87482ac9a9f5c3713479c118846c3e999178e75b81620c094.
• Parches: Asegúrese de mantener actualizado su sistema operativo y software para evitar vulnerabilidades conocidas.
• Recomendaciones: No abra archivos ZIP o VHDX de origen desconocido, y siempre verifique la integridad de los archivos antes de ejecutarlos.

🔗 Fuente consultada: SANS ISC

---

---

Vulnerabilidad — Cisco Identity Services Engine Remote Code Execution and Information Disclosure Vulnerabilities

🔍 Qué está pasando

• Se han identificado múltiples vulnerabilidades en Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC).
• Estas vulnerabilidades podrían permitir a un atacante remoto ejecutar código arbitrario o realizar ataques de divulgación de información en un dispositivo afectado.
• Se han asociado los siguientes CVE IDs: [no se proporciona la información de CVE en la noticia]

⚠️ Por qué importa

Las vulnerabilidades en Cisco ISE y ISE-PIC pueden tener un impacto significativo en organizaciones que utilizan estas soluciones para la autenticación y autorización de usuarios. Un atacante remoto podría aprovechar estas vulnerabilidades para acceder a sistemas confidenciales, robar datos sensibles o provocar daños a la infraestructura de la organización. Es importante que las organizaciones tomen medidas para corregir estas vulnerabilidades lo antes posible.

⚙️ Cómo funciona

Las vulnerabilidades en Cisco ISE y ISE-PIC se deben a errores en la validación de entradas de usuario y la configuración de acceso a recursos. Un atacante remoto podría aprovechar estas debilidades para enviar solicitudes maliciosas a un dispositivo afectado, lo que podría permitir la ejecución de código arbitrario o la divulgación de información confidencial.

👁️ Qué vigilar

• Parches disponibles: Cisco ha lanzado actualizaciones de software para corregir estas vulnerabilidades.
• IOCs: No se proporciona información específica sobre IOCs en la noticia.
• Recomendaciones concretas: Las organizaciones deben actualizar sus dispositivos afectados con las últimas versiones de software y verificar la configuración de acceso a recursos para prevenir futuras vulnerabilidades.

🔗 Fuente consultada: Cisco Security Advisories

---

---

Vulnerabilidad — Cisco Crosswork Network Controller Server-Side Template Injection Vulnerability

🔍 Qué está pasando

• Una vulnerabilidad en la interfaz de gestión web del controlador de red Cisco Crosswork podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios en un dispositivo afectado.
• La vulnerabilidad se debe a la falta de validación de entrada en el motor de plantillas de configuración de la interfaz de gestión web.
• Se ha asignado el identificador CVE-2023-20050 a esta vulnerabilidad.

⚠️ Por qué importa

Esta vulnerabilidad es crítica para organizaciones que utilizan el controlador de red Cisco Crosswork, ya que un atacante autenticado podría aprovecharla para ejecutar comandos arbitrarios en el dispositivo, lo que podría llevar a una pérdida de confianza en la seguridad de la red y potencialmente a la exfiltración de datos confidenciales. Además, la falta de validación de entrada en la interfaz de gestión web podría permitir a un atacante inyectar código malicioso y comprometer la integridad del dispositivo.

⚙️ Cómo funciona

La vulnerabilidad se debe a la falta de validación de entrada en el motor de plantillas de configuración de la interfaz de gestión web del controlador de red Cisco Crosswork. Un atacante autenticado podría enviar una solicitud crafted que incluya código malicioso en la plantilla de configuración, lo que permitiría ejecutar comandos arbitrarios en el dispositivo.

👁️ Qué vigilar

• Verifique si su controlador de red Cisco Crosswork está actualizado con el último parche disponible.
• Esté atento a cualquier intento de inyección de código malicioso en la interfaz de gestión web.
• Asegúrese de que sus usuarios estén autenticados y autorizados para acceder a la interfaz de gestión web.

🔗 Fuente consultada: Cisco Security Advisories

---

---

Vulnerabilidad — Cisco Webex App Open Redirect Vulnerability

🔍 Qué está pasando

• Una vulnerabilidad en la versión basada en navegador de la aplicación Cisco Webex permitía a un atacante remoto no autenticado redirigir a los usuarios a una página web maliciosa.
• La vulnerabilidad se debió a la falta de validación de parámetros de URL en una solicitud HTTP.
• El CVE ID no ha sido proporcionado en la noticia.

⚠️ Por qué importa

Esta vulnerabilidad podría haber permitido a un atacante remoto realizar ataques de ingeniería social, phishing o redirección a contenido malicioso. Si un usuario de Cisco Webex App hubiera accedido a una página web maliciosa, podría haber estado expuesto a ataques de seguridad como la inyección de código o la captura de credenciales.

⚙️ Cómo funciona

La vulnerabilidad se debió a la falta de validación de parámetros de URL en una solicitud HTTP. Un atacante podría haber utilizado esta vulnerabilidad para inyectar código malicioso o redirigir a los usuarios a una página web controlada por el atacante.

👁️ Qué vigilar

• Parche: Cisco ha abordado la vulnerabilidad en la aplicación Cisco Webex App, por lo que no se requiere acción del cliente.
• Recomendación: Los usuarios de Cisco Webex App deben asegurarse de que su aplicación esté actualizada con las últimas versiones de seguridad.
• Vigilancia: Los administradores de seguridad deben monitorear las solicitudes HTTP y verificar la validación de parámetros de URL para prevenir futuras vulnerabilidades similares.

🔗 Fuente consultada: Cisco Security Advisories

---

---

Vulnerabilidad — Cisco Umbrella Virtual Appliance Privilege Escalation Vulnerability

🔍 Qué está pasando

• Existe una vulnerabilidad en la CLI vmadmin de Cisco Umbrella Virtual Appliance.
• Un atacante autenticado local puede aprovechar esta vulnerabilidad para elevar privilegios en un dispositivo afectado.
• El CVE ID no se menciona en la fuente.

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a un atacante con privilegios vmadmin explotar el sistema y obtener acceso no autorizado a información confidencial o realizar cambios no deseados en la configuración del dispositivo. Si una organización utiliza Cisco Umbrella Virtual Appliance, debe tomar medidas para corregir esta vulnerabilidad lo antes posible.

⚙️ Cómo funciona

La vulnerabilidad se debe a la falta de validación adecuada de comandos proporcionados por el usuario en la CLI vmadmin. Un atacante puede aprovechar esta vulnerabilidad utilizando comandos específicos para elevar sus privilegios y obtener acceso no autorizado al dispositivo.

👁️ Qué vigilar

• Verificar la versión del software de Cisco Umbrella Virtual Appliance para determinar si se aplica la vulnerabilidad.
• Aplicar el parche disponible para corregir la vulnerabilidad.
• Revisar los registros de auditoría para detectar cualquier actividad sospechosa relacionada con la CLI vmadmin.

🔗 Fuente consultada: Cisco Security Advisories

---

---

Vulnerabilidad — Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability

🔍 Qué está pasando

• Se identificó una vulnerabilidad en la autenticación de peering en el controlador Cisco Catalyst SD-WAN.
• Un atacante no autenticado remoto podría bypass la autenticación y obtener privilegios administrativos en un sistema afectado.
• La vulnerabilidad se encuentra en el controlador SD-WAN vSmart, el controlador SD-WAN Manager y el controlador SD-WAN Validator.

⚠️ Por qué importa

Esta vulnerabilidad es crítica porque permite a un atacante no autenticado acceder a sistemas con privilegios administrativos, lo que podría provocar una pérdida de control total de la red. Esto podría tener consecuencias graves para organizaciones que dependen de la seguridad de su red para proteger información confidencial y mantener la disponibilidad de sus sistemas.

⚙️ Cómo funciona

La vulnerabilidad se debe a que el controlador SD-WAN no verifica adecuadamente la autenticación de peering, lo que permite a un atacante no autenticado establecer una conexión con el sistema y obtener privilegios administrativos. El atacante podría aprovechar esta vulnerabilidad para acceder a la consola de administración del sistema y realizar cambios que comprometan la seguridad de la red.

👁️ Qué vigilar

• Parche: Cisco ha liberado un parche para esta vulnerabilidad. Es importante aplicar el parche lo antes posible para evitar posibles ataques.
• Recomendación: Organizaciones que utilizan el controlador SD-WAN deben verificar si están afectadas por esta vulnerabilidad y aplicar el parche de inmediato.
• Monitoreo: Es recomendable monitorear la red para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.

🔗 Fuente consultada: Cisco Security Advisories

---

---

Vulnerabilidad — CVE-2026-47636 Microsoft SharePoint Server Spoofing Vulnerability

🔍 Qué está pasando

• Se reportó una vulnerabilidad de spoofing en Microsoft SharePoint Server.
• La vulnerabilidad tiene el identificador CVE-2026-47636.
• Microsoft ha agregado una confirmación a su base de datos de vulnerabilidades.

⚠️ Por qué importa

La vulnerabilidad de spoofing en Microsoft SharePoint Server puede permitir a un atacante engañar a los usuarios para que accedan a sitios web maliciosos o descarguen archivos dañinos. Esto puede tener un impacto significativo en la seguridad de la información y la confianza de los usuarios en la plataforma.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando un atacante puede manipular la información de origen de un sitio web para hacer que parezca legítimo, lo que lleva a los usuarios a acceder a contenido malicioso. Este tipo de ataques se conocen como ataques de spoofing, ya que permiten a los atacantes imitar a una fuente legítima.

👁️ Qué vigilar

• Revisa la lista de CVE para obtener información actualizada sobre la vulnerabilidad.
• Asegúrate de aplicar los parches o actualizaciones disponibles para Microsoft SharePoint Server.
• Revisa los permisos y configuraciones de acceso a la plataforma para evitar posibles ataques de spoofing.

🔗 Fuente consultada: MSRC Microsoft

---

---

Vulnerabilidad — CVE-2026-45475 Microsoft Office Remote Code Execution Vulnerability

🔍 Qué está pasando

• Microsoft ha anunciado una nueva vulnerabilidad en Microsoft Office con el ID CVE-2026-45475.
• Esta vulnerabilidad permite la ejecución de código remoto.
• El número de CVE es incorrecto, lo que sugiere que aún no se ha publicado oficialmente.

⚠️ Por qué importa

La vulnerabilidad en Microsoft Office puede permitir a un atacante ejecutar código remoto en sistemas comprometidos, lo que puede llevar a la exfiltración de datos confidenciales, la instalación de malware o la toma del control del sistema. Esto puede tener un impacto significativo en las organizaciones que utilizan Microsoft Office, especialmente aquellas que no han implementado medidas de seguridad adecuadas.

⚙️ Cómo funciona

La vulnerabilidad en Microsoft Office se debe a un error en la forma en que el software maneja ciertos tipos de archivos. Un atacante puede manipular un archivo de Microsoft Office de manera que cuando se abre, el software ejecuta código malicioso en la memoria. Esto puede ocurrir sin que el usuario de Microsoft Office se dé cuenta, lo que hace que la vulnerabilidad sea especialmente peligrosa.

👁️ Qué vigilar

• No hay parches disponibles para esta vulnerabilidad, ya que aún no se ha publicado oficialmente.
• Las organizaciones deben estar atentas a las actualizaciones futuras de Microsoft Office y aplicarlas de inmediato una vez que estén disponibles.
• Es recomendable que las organizaciones implementen medidas de seguridad adicionales, como la habilitación de la autenticación de código de confianza y la configuración de políticas de seguridad estrictas para el acceso a Microsoft Office.

🔗 Fuente consultada: MSRC Microsoft

---

---

Vulnerabilidad — CVE-2026-42828 Windows Projected File System Elevation of Privilege Vulnerability

🔍 Qué está pasando

• Se identificó una vulnerabilidad de elevación de privilegios en el sistema de archivos proyectado de Windows.
• La vulnerabilidad se encuentra en el Dynamics 365 Server (en premises) y afecta a versiones específicas.
• Se ha actualizado la información de la versión fijada y el enlace de descarga.

⚠️ Por qué importa

La vulnerabilidad de elevación de privilegios en el sistema de archivos proyectado de Windows puede permitir a un atacante ejecutar código arbitrario en un contexto elevado, lo que podría llevar a una pérdida de control total del sistema afectado. Esto puede tener consecuencias significativas para organizaciones que utilizan Dynamics 365 Server, especialmente aquellas que manejan datos confidenciales.

⚙️ Cómo funciona

La vulnerabilidad se debe a un error en la implementación del sistema de archivos proyectado de Windows en Dynamics 365 Server. Un atacante podría explotar esta vulnerabilidad creando un archivo malicioso en un directorio específico, lo que permitiría ejecutar código en un contexto elevado. La gravedad de la vulnerabilidad se debe a que un atacante podría utilizarla para acceder a información confidencial y realizar acciones no autorizadas en el sistema.

👁️ Qué vigilar

• Verificar la versión actual de Dynamics 365 Server (en premises) para asegurarse de que se encuentra en la versión fijada (v9.1.0045.0011).
• Descargar y aplicar la actualización disponible desde el sitio web de Microsoft.
• Revisar los registros de sistema y las auditorías para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad.

🔗 Fuentes consultadas (2):

• MSRC Microsoft
• MSRC Microsoft

---

---

Vulnerabilidad — CVE-2026-45602 Windows Dynamic Host Configuration Protocol (DHCP) Tampering Vulnerability

🔍 Qué está pasando

• Se ha actualizado el valor CWE (CWE: Common Weakness Enumeration) de la vulnerabilidad CVE-2026-45602.
• No hay nuevas informaciones sobre la vulnerabilidad en sí misma, solo una actualización del valor CWE.

⚠️ Por qué importa

La actualización del valor CWE puede ser importante para los equipos de ciberseguridad y desarrollo que utilizan herramientas y sistemas para gestionar vulnerabilidades y priorizar las actualizaciones de seguridad. Aunque no hay nueva información sobre la vulnerabilidad, mantenerse al tanto de las actualizaciones del CWE es esencial para garantizar la precisión de las evaluaciones de riesgo y las decisiones de mitigación.

⚙️ Cómo funciona

No es necesario explicar cómo funciona la vulnerabilidad, ya que no se proporciona información sobre ella en la noticia. Sin embargo, se puede mencionar que la vulnerabilidad CVE-2026-45602 afecta el protocolo DHCP (Dynamic Host Configuration Protocol) en Windows.

👁️ Qué vigilar

• Actualizaciones futuras sobre la vulnerabilidad CVE-2026-45602.
• Cambios en el valor CWE que puedan afectar la evaluación de riesgo y la priorización de actualizaciones de seguridad.
• Recomendaciones de Microsoft para mitigar la vulnerabilidad, aunque no se proporcionan en la noticia actual.

🔗 Fuente consultada: MSRC Microsoft

---

---

CloudSecurity — Introduciendo AWS Continuum: Seguridad a la velocidad de la máquina

🔍 Qué está pasando

• AWS anuncia el lanzamiento de AWS Continuum, un servicio de seguridad centrado en la velocidad de la máquina.
• Se enfoca en proporcionar una seguridad más eficiente y efectiva a través del uso de inteligencia artificial y aprendizaje automático.
• Busca reemplazar el modelo de seguridad tradicional, basado en la recopilación de datos y la creación de paneles de control.

⚠️ Por qué importa

La seguridad en la nube ha alcanzado niveles críticos, y los modelos de seguridad tradicionales ya no pueden mantener el ritmo. AWS Continuum busca abordar esta necesidad mediante la integración de inteligencia artificial y aprendizaje automático para proporcionar una seguridad más eficiente y efectiva. Esto puede tener un impacto significativo en la reducción de riesgos y la mejoría de la confiabilidad de las aplicaciones y servicios en la nube.

⚙️ Cómo funciona

AWS Continuum utiliza algoritmos de aprendizaje automático para analizar grandes cantidades de datos en tiempo real, lo que le permite identificar y responder a amenazas de manera rápida y eficaz. Este servicio integra la recopilación de datos, la interpretación de contexto y la toma de decisiones para proporcionar una seguridad proactiva y preventiva. Además, AWS Continuum se puede integrar con otros servicios de AWS para proporcionar una visión más completa de la seguridad.

👁️ Qué vigilar

• AWS Continuum: Asegúrate de explorar las características y beneficios de este servicio de seguridad.
• Inteligencia artificial y aprendizaje automático: Mantén tus habilidades actualizadas en estas tecnologías para aprovechar al máximo la seguridad de AWS Continuum.
• Integración con otros servicios de AWS: Asegúrate de que tus aplicaciones y servicios estén configurados para aprovechar la integridad de AWS Continuum.

🔗 Fuente consultada: AWS Security

---

---

Vulnerabilidad — Threat tactic spotlight: Subdomain takeover

🔍 Qué está pasando

• Los atacantes explotan registros DNS sueltos (dangling DNS records) para redirigir tráfico a recursos controlados por ellos.
• Esto puede ocurrir cuando un proveedor de servicios de Internet (ISP) o un registrador de nombres de dominio (RDN) no actualiza los registros DNS de un dominio después de que se elimina el servicio asociado.
• Se puede usar para redirigir tráfico a sitios web maliciosos o para realizar ataques de phishing.

⚠️ Por qué importa

La subdominio de toma de control puede tener graves consecuencias para las organizaciones y los usuarios. Algunas de las razones por las que importa incluyen:
La pérdida de confianza en la marca: si un atacante puede redirigir tráfico a un sitio web malicioso bajo un subdominio legítimo, puede dañar la reputación de la marca y causar pérdidas financieras.

⚙️ Cómo funciona

La subdominio de toma de control funciona de la siguiente manera: un atacante identifica un dominio que tiene registros DNS sueltos y que no están siendo actualizados. Luego, el atacante crea un registro DNS que apunta a un servidor controlado por él. Cuando un usuario ingresa a la URL del subdominio afectado, se redirige automáticamente al servidor controlado por el atacante.

👁️ Qué vigilar

• Verifique que los registros DNS de sus dominios estén actualizados y sean válidos.
• Utilice herramientas de escaneo de subdominios para identificar registros DNS sueltos.
• Configure políticas de seguridad en AWS para bloquear el acceso a recursos que no sean los esperados.

🔗 Fuente consultada: AWS Security

---

---

Vulnerabilidad — Pickle in the Middle – Hijacking Vertex AI Model Uploads for Cross-Tenant RCE

🔍 Qué está pasando

• Se descubrió una vulnerabilidad en el SDK de Python de Vertex AI que permite ejecución de código remoto a través de "bucket squatting".
• La vulnerabilidad afecta a las subidas de modelos en Vertex AI, lo que podría permitir el acceso no autorizado a datos de otros inquilinos.
• No se proporciona un CVE ID en la noticia.

⚠️ Por qué importa

La vulnerabilidad descubierta en Vertex AI puede tener un impacto significativo en las organizaciones que utilizan la plataforma de inteligencia artificial de Google. Al permitir la ejecución de código remoto a través de "bucket squatting", un atacante podría acceder a datos confidenciales de otros inquilinos, lo que podría llevar a una pérdida de confidencialidad y seguridad de los datos. Además, esta vulnerabilidad también podría ser utilizada para realizar ataques de denegación de servicio (DoS) o incluso para robar recursos de otros inquilinos.

⚙️ Cómo funciona

La vulnerabilidad se produce debido a la forma en que el SDK de Python de Vertex AI maneja las subidas de modelos. Cuando un usuario sube un modelo, el SDK utiliza la biblioteca Pickle para serializar el modelo y guardarla en un bucket de almacenamiento. Sin embargo, si un atacante puede controlar el contenido del bucket, puede inyectar código malicioso en el modelo subido, lo que le permitiría ejecutar código remoto en el entorno de Vertex AI.

👁️ Qué vigilar

• Verificar si se han subido modelos maliciosos a los buckets de almacenamiento de Vertex AI.
• Actualizar el SDK de Python de Vertex AI a la versión más reciente para corregir la vulnerabilidad.
• Revisar las políticas de seguridad de los buckets de almacenamiento para asegurarse de que solo los usuarios autorizados puedan subir y descargar modelos.

🔗 Fuente consultada: Unit 42 (Palo Alto)