Microsoft advierte sobre una práctica insegura en la que los desarrolladores de software incorporan claves de máquina ASP.NET divulgadas públicamente de recursos de acceso público, lo que pone sus aplicaciones en la ruta de los atacantes.
El equipo de inteligencia de amenazas del gigante tecnológico dijo que observó una actividad limitada en diciembre de 2024 que involucraba a un actor de amenaza desconocido que usaba una clave de máquina ASP.NET estática disponible públicamente para inyectar código malicioso y entregar el marco de Godzilla después de la explotación.
También señaló que ha identificado más de 3.000 claves divulgadas públicamente que podrían usarse para este tipo de ataques, lo que llama a los ataques de inyección de código ViewState.
«Mientras que muchos ataques de inyección de código ViewState previamente conocidos utilizaron claves comprometidas o robadas que a menudo se venden en foros web oscuros, estas claves divulgadas públicamente podrían representar un riesgo más alto porque están disponibles en múltiples repositorios de código y podrían haberse empujado al código de desarrollo sin modificar «, Dijo Microsoft.
ViewState es un método utilizado en el marco ASP.NET para preservar la página y controlar los valores entre las devoluciones. Esto también puede incluir datos de aplicación que son específicos de una página.
«De manera predeterminada, la vista de datos de estado se almacena en la página en un campo oculto y se codifica utilizando la codificación Base64», señala Microsoft en su documentación. «Además, se crea un hash de los datos de estado de vista a partir de los datos utilizando una tecla de código de autenticación de máquina (Mac). El valor hash se agrega a los datos de estado de vista codificados y la cadena resultante se almacena en la página».
Al usar un valor hash, la idea es asegurarse de que los datos del estado de vista no hayan sido corrompidos o manipulados por actores maliciosos. Dicho esto, si estas llaves son robadas o se hacen accesibles para terceros no autorizados, abre la puerta a un escenario en el que el actor de amenaza puede aprovechar las teclas para enviar una solicitud Maliciosa ViewState y ejecutar código arbitrario.
«Cuando la solicitud es procesada por ASP.NET Runtime en el servidor dirigido, el ViewState se descifra y se valida con éxito porque se usan las claves correctas», señaló Redmond. «El código malicioso se carga en la memoria del proceso del trabajador y se ejecuta, proporcionando las capacidades de ejecución del código remoto del actor de amenaza en el servidor web IIS de destino».
Microsoft ha proporcionado una lista de valores hash para las claves de la máquina divulgadas públicamente, instando a los clientes a verificarlos con las claves de la máquina utilizadas en sus entornos. También advirtió que en el caso de una explotación exitosa de las claves reveladas públicamente, simplemente girar las teclas no será suficiente ya que los actores de amenaza ya pueden haber establecido persistencia en el anfitrión.
Para mitigar el riesgo planteado por tales ataques, se recomienda no copiar claves de fuentes disponibles públicamente y que gire regularmente las claves. Como otro paso para disuadir a los actores de amenaza, Microsoft dijo que eliminó los artefactos clave de «instancias limitadas» donde se incluyeron en su documentación.
El desarrollo se produce cuando la compañía de seguridad en la nube Aqua reveló detalles de un bypass de OPA Gatekeeper que podría explotarse para realizar acciones no autorizadas en entornos de Kubernetes, incluida la implementación de imágenes de contenedores no autorizadas.
«En la política de K8SallowedRepos, surge un riesgo de seguridad de cómo la lógica REGO se escribe en el archivo RestrictTTemplate», dijeron los investigadores Yakir Kadkoda y Assaf Morag en un análisis compartido con The Hacker News.
«Este riesgo se amplifica aún más cuando los usuarios definen valores en el archivo YAML de restricción que no se alinean con la forma en que la lógica de REGO los procesa. Este desajuste puede provocar que los omitir la política, lo que hace que las restricciones sean ineficaces».