NEMIA UY

Newsletter de Ciberseguridad para Uruguay

Vulnerabilidades críticas, seguridad en IA y amenazas en AWS

Panorama técnico de la semana

Panorama técnico de la semana

La semana estuvo marcada por una combinación explosiva de criptografía, descubrimiento de vulnerabilidades asistido por IA y abuso de servicios cloud, con hallazgos que, de no ser por mitigaciones modernas, podrían haber tenido impacto a escala de Internet.

OpenSSL y CVE-2025-15467: cuando un crash evitó algo peor

Uno de los eventos más delicados fue la divulgación de CVE-2025-15467, una vulnerabilidad de desbordamiento de búfer en pila (stack buffer overflow) en el proceso de análisis de mensajes cifrados de OpenSSL.

Características técnicas relevantes:

  • No requiere claves criptográficas.
  • No requiere autenticación.
  • No necesita interacción del usuario.
  • Se activa durante el procesamiento de datos cifrados.

En condiciones ideales para un atacante, este tipo de falla podría haber derivado en ejecución remota de código (RCE). Sin embargo, protecciones modernas a nivel de compilador y sistema —como stack canaries, Address Space Layout Randomization (ASLR) y protecciones contra corrupción de memoria— redujeron el impacto observable a denegación de servicio (crash del proceso).

Prioridad: aplicar parches de forma inmediata en cualquier entorno que utilice OpenSSL.

AWS incorpora seguridad específica para IA generativa

AWS amplió su Well-Architected Framework incorporando prácticas de seguridad orientadas a IA generativa.

  • Principio de mínimo privilegio en IAM para servicios de IA.
  • Separación de funciones en la gobernanza de modelos.
  • Procedimientos de respuesta a incidentes específicos para IA.
  • Protección frente a ransomware dirigido a modelos, datasets y prompts.
  • Marcos de control para la gestión de agentes autónomos.

Casos destacados en entornos AWS

1. Phishing mediante AWS WorkMail

Campañas de phishing explotaron el límite de envíos en el sandbox de SES, migrando a WorkMail tras comprometer credenciales AWS.

  • Registro de dominios para phishing.
  • Verificación de dominios mediante SES.
  • Creación de buzones en WorkMail.
  • Envío masivo de correos aprovechando la reputación de Amazon como remitente.

Un punto crítico es la brecha de visibilidad: los correos enviados por SMTP desde WorkMail no generan eventos en CloudTrail, incluso con data events de SES activados.

2. Seguridad en tiempo de ejecución para contenedores con Falco en AWS

Integración entre Falco y AWS Security Hub CSPM para detección en runtime en clústeres EKS.

  • Detección de shells inesperadas en contenedores.
  • Escalada de privilegios.
  • Accesos sospechosos a archivos.
  • Actividad de red inusual.

3. Investigaciones forenses en S3: distinto al mundo on-prem

El modelo de logging en S3 es complejo y puede generar puntos ciegos:

  • CloudTrail (eventos de gestión).
  • CloudTrail data events (opcional y costoso).
  • Server access logs (best effort).

Detectar accesos anómalos masivos a GetObject resulta costoso, ruidoso y difícil sin políticas de bucket y logging diseñadas desde el inicio.

Conclusión: La seguridad ya no puede centrarse solo en configuración estática. La observabilidad, el control de permisos granulares y la detección de comportamiento son ahora esenciales.

Fuente: AWS Security Digest #246

Volver a noticias internacionales