Vulnerabilidades de software de IBM deja desprotegidos a servidores ante ataques dirigidos

**albertoraul64** · 09-may-2013

De acuerdo a investigadores de Security Explorations y de Kaspersky Lab, fallas en la última versión de la edición de IBM del Kit de Desarrollo de Software (SDK, por sus siglas en inglés) para la tecnología Java, dejan a muchos servidores desprotegidos ante ataques dirigidos.

El investigador de Security Explorations, Adam Gowdiak, alertó a IBM de las fallas en su software mediante un mensaje que publicó.

"Security Explorations descubrió siete problemas de seguridad adicionales en la última versión del SDK. La mayoría de las fallas se deben a un uso o implementación inseguros de la Interfaz de Programación de Aplicaciones (API, por sus siglas en inglés) Java Reflection", escribió Gowdiak.

La investigadora de seguridad de Kaspersky Lab, Marta Janus, dijo que los errores son especialmente malos ya que los hackers pueden usarlos para llevar a cabo ataques dirigidos a servidores de clientes de IBM.

"Utilizando estas vulnerabilidades, los criminales pueden traspasar las medidas de seguridad de la Máquina Virtual Java de IBM, y así obtener control del sistema atacado", comentó.

"Es importante subrayar que estas vulnerabilidades afectan al SDK desarrollado por IBM para sistemas operativos que los llamados "Power Systems" de IBM (Linux, AIX, IBM i) soportan. Estas vulnerabilidades pueden usarse en ataques dirigidos contra sistemas que ejecuten la Máquina Virtual Java J9 de IBM".

Security Explorations también descubrió que un número de errores previamente descubiertos continúan presentes en el software, a pesar de fueron reportados hace casi un año.

Gowdiak agregó lo siguiente: "Descubrimos que la compañía no ha corregido correctamente cuatro problemas reportados (en septiembre de 2012) a IBM. Mediante simples modificaciones a los códigos de los exploits, las fallas podrían usarse para comprometer totalmente un entorno Java de IBM. El problema con las correcciones de IBM es que pretenden detectar únicamente un vector de ataque específico y omiten muchos otros escenarios. Una notificación sobre la vulnerabilidad fue enviada a IBM, con información detallada sobre las debilidades identificadas. Junto con eso, se envió a la compañia código fuente y binarios para pruebas de concepto que ilustran todos los problemas de seguridad y las correcciones erroneas".

Con criminales que desarrollan continuamente nuevas y más ingeniosas formas de engañar a la gente para que caigan en las trampas, los ataques dirigidos son un problema creciente que muchos negocios enfrentan. Recientemente, un estudio conjunto del grupo comercial ISACA y la firma de seguridad Trend Micro encontró que uno de cada cinco negocios ya ha sido victima de un ataque dirigido.

Fuente:

**asgorreidaa** · 09-may-2013

**peter_veneno** · 09-may-2013

gracias por la informacion

**carmen10** · 10-may-2013

**Rin** · 10-may-2013

wow... hablamos de IBM... no de cualquier proveedor....

mis respetos a ibm y que parcheen pronto!

gracias por la noticia

**Muga** · 11-may-2013

Gracias por compartir la noticia.

09-may-2013	#1
albertoraul64 Genio Ingreso: agosto-2010 Ubicación: BS. AS. Mensajes: 1.432 Sexo: País: Signo: Agradecido: +5.081	Vulnerabilidades de software de IBM deja desprotegidos a servidores ante ataques dirigidos De acuerdo a investigadores de Security Explorations y de Kaspersky Lab, fallas en la última versión de la edición de IBM del Kit de Desarrollo de Software (SDK, por sus siglas en inglés) para la tecnología Java, dejan a muchos servidores desprotegidos ante ataques dirigidos. El investigador de Security Explorations, Adam Gowdiak, alertó a IBM de las fallas en su software mediante un mensaje que publicó. "Security Explorations descubrió siete problemas de seguridad adicionales en la última versión del SDK. La mayoría de las fallas se deben a un uso o implementación inseguros de la Interfaz de Programación de Aplicaciones (API, por sus siglas en inglés) Java Reflection", escribió Gowdiak. La investigadora de seguridad de Kaspersky Lab, Marta Janus, dijo que los errores son especialmente malos ya que los hackers pueden usarlos para llevar a cabo ataques dirigidos a servidores de clientes de IBM. "Utilizando estas vulnerabilidades, los criminales pueden traspasar las medidas de seguridad de la Máquina Virtual Java de IBM, y así obtener control del sistema atacado", comentó. "Es importante subrayar que estas vulnerabilidades afectan al SDK desarrollado por IBM para sistemas operativos que los llamados "Power Systems" de IBM (Linux, AIX, IBM i) soportan. Estas vulnerabilidades pueden usarse en ataques dirigidos contra sistemas que ejecuten la Máquina Virtual Java J9 de IBM". Security Explorations también descubrió que un número de errores previamente descubiertos continúan presentes en el software, a pesar de fueron reportados hace casi un año. Gowdiak agregó lo siguiente: "Descubrimos que la compañía no ha corregido correctamente cuatro problemas reportados (en septiembre de 2012) a IBM. Mediante simples modificaciones a los códigos de los exploits, las fallas podrían usarse para comprometer totalmente un entorno Java de IBM. El problema con las correcciones de IBM es que pretenden detectar únicamente un vector de ataque específico y omiten muchos otros escenarios. Una notificación sobre la vulnerabilidad fue enviada a IBM, con información detallada sobre las debilidades identificadas. Junto con eso, se envió a la compañia código fuente y binarios para pruebas de concepto que ilustran todos los problemas de seguridad y las correcciones erroneas". Con criminales que desarrollan continuamente nuevas y más ingeniosas formas de engañar a la gente para que caigan en las trampas, los ataques dirigidos son un problema creciente que muchos negocios enfrentan. Recientemente, un estudio conjunto del grupo comercial ISACA y la firma de seguridad Trend Micro encontró que uno de cada cinco negocios ya ha sido victima de un ataque dirigido. Fuente:

10-may-2013	#4
carmen10 Erudito Ingreso: agosto-2010 Ubicación: En Andalucia Mensajes: 17.081 Sexo: País: Signo: Agradecido: +22.675	*El que busca la verdad corre el riesgo de encontrarla.*

10-may-2013	#5
Rin Ayudante Experto Ingreso: diciembre-2012 Mensajes: 947 Sexo: País: Signo: Agradecido: +2.052	wow... hablamos de IBM... no de cualquier proveedor.... mis respetos a ibm y que parcheen pronto! gracias por la noticia No doubt about it: Microsoft has the all-time best Windows malware delivery system. -Woody Leonhard

Temas Similares
Tema	Autor	Foro	Respuestas	Último mensaje
Que Ocurre en el Administrador de Tareas	cejd	Tutoriales & Videos Tutoriales	6	11-may-2012 23:25
¿es mejor el software comercial que el software libre?	xhyruja	Seguridad	3	01-feb-2010 20:20

Los siguientes 7 usuarios agradecen a albertoraul64 por este mensaje:
asgorreidaa (09-may-2013), carmen10 (10-may-2013), Francisco6812 (20-may-2013), Muga (11-may-2013), opadrino (09-may-2013), peter_veneno (09-may-2013), Rin (10-may-2013)

09-may-2013	#2
asgorreidaa Genio Ingreso: octubre-2010 Ubicación: Zaragoza (Spain) Mensajes: 1.072 Sexo: País: Signo: Agradecido: +1.369

Usuarios que han agradecido este mensaje de asgorreidaa
albertoraul64 (09-may-2013)

09-may-2013	#3
peter_veneno Erudito Ingreso: noviembre-2012 Mensajes: 4.575 Sexo: País: Signo: Agradecido: +4.971	gracias por la informacion

Usuarios que han agradecido este mensaje de carmen10
albertoraul64 (10-may-2013)

Usuarios que han agradecido este mensaje de Rin
albertoraul64 (11-may-2013)

11-may-2013	#6
Muga Erudito Ingreso: noviembre-2011 Ubicación: Loading... Mensajes: 2.796 Sexo: País: Signo: Agradecido: +3.175	Gracias por compartir la noticia.

Usuarios que han agradecido este mensaje de Muga
albertoraul64 (12-may-2013)

(0 miembros y 1 visitantes)