Category: Actualitat

L’11 d’abril de 2025 es va identificar una vulnerabilitat crítica en BentoML, una biblioteca Python utilitzada àmpliament per a crear i desplegar servicis d’intel·ligència artificial.

Anàlisi

Esta vulnerabilitat, catalogada com a CVE-2025-27520 (CVSS 9.8), permetria l’execució remota de codi (RCE) sense necessitat d’autenticació.
La vulnerabilitat radica en la funció deserialize_value() de l’arxiu serde.py de BentoML. Esta funció deserialitza dades sense una validació adequada, cosa que permet que un atacant envie dades malicioses que, en ser deserializades, executen un codi arbitrari en el servidor.
El problema és una reaparició de la vulnerabilitat CVE-2024-2912, prèviament corregida en la versió 1.2.5, però que va tornar a introduir-se en la versió 1.3.8.
Qualsevol implementació de BentoML en les versions vulnerables és susceptible a esta vulnerabilitat. Això inclou servidors que processen dades d’entrada que no són de confiança, com sol·licituds HTTP amb dades serialitzades. L’explotació exitosa d’esta vulnerabilitat pot comprometre la integritat i seguretat del sistema afectat.​​

Recursos afectats

• • BentoML en versions anteriors a 1.4.3

Recomendaciones

• • Actualitzar a la versió 1.4.3 o superior de BentoML: esta versió corregix la vulnerabilitat identificada.​

Referències

• • https://checkmarx.com/zero-post/bentoml-rce-fewer-affected-versions-cve-2025-27520/
  • https://hackread.com/bentoml-vulnerability-remote-code-execution-ai-servers/

CSIRT-CV estarà present als Mislata Cibersecurity Days 2025, esdeveniment clau de ciberseguretat, que se celebrarà els dies 14 i 15 d’abril al Centre FP Mislata. El coordinador tècnic de CSIRT-CV, Raúl Verdú, impartirà la xarrada “Eficiencia en la operación de un SOC. Caso CSIRT-CV” el dilluns 14 d’abril a les 11:00, i Jorge Palma, de l’equip CNA, impartirà “Hackers a guardianes: la revolución del pentesting web”, el mateix dilluns a les 12:00.

En la xarrada “Eficiencia en la operación de un SOC. Caso CSIRT-CV” parlarem del SOC de CSIRT-CV, que ha assolit un alt nivell de maduresa i eficiència gràcies a anys d’aplicació d’una metodologia adaptada a la complexitat de la Generalitat Valenciana, on conviuen servicis TIC centralitzats i organismes amb infraestructures pròpies. La federació d’estos servicis ha sigut dissenyada per a garantir l’escalabilitat dins del marc de l’Administració pública.

En la xarrada “Hackers a Guardianes: la revolución del pentesting web”, farem un recorregut per les tècniques efectives i ofensives de la prova de penetració (pentesting) web i com han evolucionat al llarg del temps. Explorarem com els hackers han fet una gran transformació, passant de ser considerats vilans, a convertir-se en guardians de la ciberseguretat en la majoria dels casos.

Els nostres companys de CSIRT-CV formaran part d’este esdeveniment organitzat per l’Immune Technology Institute i INCIBE, juntament amb altres reconeguts especialistes del sector que compartiran la seua experiència i coneixement sobre ciberseguretat, identitat digital i la intel·ligència artificial. Durant els dos dies, al matí els especialistes abordaran les últimes tendències, amenaces i estratègies en ciberseguretat, i a la vesprada els més atrevits posaran a prova les seues habilitats en un Capture The Flag (CTF), una competició dissenyada per a desafiar l’enginy dels participants i la seua destresa tècnica. Els millors competiran pels premis següents:

1r premi: Flipper Zero – La ferramenta definitiva per a pentesting i hacking.

2n premi: Rubber Ducky – El famós dispositiu d’injecció de scripts.

3r premi: Targeta de hacking Alfa – Ideal per a auditoria i proves de xarxes sense fils.

No et perdes esta oportunitat única d’enfortir els teus coneixements de la mà dels experts i connectar amb més persones de la comunitat de la ciberseguretat.

Aconseguix la teua entrada gratis ací

Google ha llançat una actualització de seguretat per a Android que resol 62 vulnerabilitats, incloent-hi dues de tipus zero-day que estaven sent explotades activament, segons informa BleepingComputer.

Una d’aquestes vulnerabilitats, identificada com a CVE-2024-53197, és un error d’elevació de privilegis en el controlador d’àudio USB del nucli de Linux. Aquest error va ser aprofitat per les autoritats sèrbies mitjançant una cadena d’exploits desenvolupada per l’empresa israeliana de forense digital Cellebrite, utilitzada per desbloquejar dispositius Android confiscats. Aquesta cadena d’exploits també incloïa altres vulnerabilitats com CVE-2024-53104 i CVE-2024-50302, que ja havien estat corregides en actualitzacions anteriors.

La segona vulnerabilitat zero-day, CVE-2024-53150, és un error que podria permetre als atacants accedir a dades potencialment sensibles. Totes dues vulnerabilitats han estat solucionades en el butlletí de seguretat d’abril de 2025 d’Android, que inclou dos nivells de pedaços: 2025-04-01 i 2025-04-05. Aquests pedaços permeten als socis d’Android abordar un conjunt comú de vulnerabilitats que poden afectar diferents dispositius.

Es recomana a tots els usuaris de dispositius Android que actualitzen el seu sistema operatiu a la versió més recent per protegir-se d’aquestes amenaces. Les actualitzacions de seguretat són essencials per a garantir la integritat i la seguretat dels dispositius mòbils, especialment quan es tracta de vulnerabilitats que ja s’han explotat activament. 

Introducció

Rex Weng, del Centre de Seguretat de Productes de Moxa, ha descobert una seria de vulnerabilitats en productes de Moxa, una d’elles de severitat crítica, que, de ser explotades, podrien permetre l’execució de comandos arbitraris del sistema i obtindre accés de root.^[1]

Anàlisi

La vulnerabilitat crítica trobada és la següent:

• • CVE-2025-0415 – Neutralització indeguda d’elements especials utilitzats en un comando del Sistema Operatiu (injecció de comandos del Sistema Operatiu) (CWE-78):

Un atacant remot amb privilegis d’administrador web podria explotar la interfície web del dispositiu i executar comandos arbitraris del sistema dins de les propietats NTP. Si s’explota amb èxit podria obtindre el control total del dispositiu.

Els recursos afectats són els següents:

• • EDF-G1002-BP Sèries, versió de firmware 3.14 i anteriors;
  • EDR-810 Sèries, versió de firmware 5.12.39 i anteriors;
  • EDR-8010 Sèries, versió de firmware 3.14 i anteriors;
  • EDR-G9004 Sèries, versió de firmware 3.14 i anteriors;
  • EDR-G9010 Sèries, versió de firmware 3.14 i anteriors;
  • OnCell G4302-LTE4 Sèries, versió de firmware 3.14 i anteriors;
  • TN-4900 Sèries, versió de firmware 3.14 i anteriors.
  • NAT-102 Sèries, versió de firmware 3.15 i anterior.

Recomanacions

Actualitzar el firmware dels següents productes:

• • EDF-G1002-BP Series^[2] , versió 3.17 o posterior;
  • EDR-810 Series^[3] , versió 5.12.41 o posterior;
  • EDR-8010 Series^[4] , versió 3.17 o posterior.
  • NAT-102 Series, versió 3.17 o posterior.

Per als productes del següent llistat, contactar amb el servici tècnic de Moxa:

• • EDR-G9004 Series;
  • EDR-G9010 Series;
  • OnCell G4302-LTE4 Series;
  • TN-4900 Series.

Referències

[1] Moxa MPSA-259491 – CVE-2025-0415: Command Injection Leading to Denial-of-Service in Secure Routers, Cellular Routers, and Network Security Appliances
[2] EDF-G1002-BP Series, versión 3.17
[3] EDR-810 Series, versión 5.12.41
[4] EDR-8010 Series, versión 3.17