Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3998
)
-
▼
mayo
(Total:
695
)
-
Microsoft libera RAMPART y Clarity para reforzar l...
-
Vulnerabilidad PinTheft en Linux permite acceso ro...
-
Fedora elimina paquetes de Deepin por seguridad
-
Heroic Launcher mejora modo consola y personalización
-
Bots representan el 53% del tráfico web global
-
Filtración en Grafana provocada por falta de rotac...
-
IA reemplazará Python pero no toda la programación
-
GitHub confirma robo masivo de repositorios internos
-
Discord implementa el cifrado de extremo a extremo...
-
Intel Crescent Island: así será la tarjeta gráfica...
-
Google Pics revoluciona la edición de imágenes con IA
-
Webworm utiliza Discord y la API de MS Graph para ...
-
The Gentlemen Ransomware ataca Windows, Linux, NAS...
-
Vulnerabilidades críticas de PostgreSQL permiten e...
-
Google Gemini Omni para crear vídeos hiperrealistas
-
Vulnerabilidad crítica en Apache Flink permite eje...
-
IA colapsa el sistema de errores de Linux
-
Samsung lanza gafas inteligentes contra Meta
-
Nuevo malware VoidStealer roba contraseñas y cooki...
-
WD DC HC6100 UltraSMR, así son los primeros discos...
-
Firefox añade copia de seguridad local a Linux
-
Intel va a por el MacBook Neo con Project Firefly:...
-
Cirugía para parecerse a la IA
-
Apple acusada de ralentizar iPhones antiguos
-
Vulnerabilidad crítica de Marimo permite ejecución...
-
WWDC 2026: novedades de iOS 27 y Siri IA
-
Nova Lake-S: salto masivo en rendimiento
-
IA reemplazará empleos en 18 meses según Microsoft
-
Intel Nova Lake tiene muestras de ingeniería lista...
-
Malware de macOS instala falso actualizador de Goo...
-
Linux ya disponible en más PS5
-
Cadena de malware UAC-0184 usa bitsadmin y archivo...
-
Presunto robo de 468 mil registros del servicio po...
-
Google presenta Gemini Spark, su alternativa a Ope...
-
Google y Samsung presentan gafas con Gemini y Andr...
-
Japón pone a prueba el 6G y alcanza velocidades de...
-
Google Gemini 3.5 Flash para competir en IA y prog...
-
Google presenta Carrito Universal con IA
-
Google presenta Antigravity 2.0 para programar con IA
-
Demanda con IA termina en ridículo legal
-
Kimsuky ataca a reclutadores, usuarios de cripto y...
-
Comprometen paquetes de @antv en ataque de npm Min...
-
La principal agencia de ciberdefensa de EE. UU. ex...
-
China habría cerrado la puerta a la entrada de grá...
-
Administrador de CISA expone credenciales de AWS G...
-
Campaña de malware usa JavaScript, PowerShell y sh...
-
Apple implementará IA para corregir mensajes
-
Intel y socios crean MacBook barato contra Apple
-
Publicado el PoC de DirtyDecrypt para la vulnerabi...
-
Utilizan routers Four-Faith para botnet
-
Edge deja de cargar contraseñas al iniciar
-
Cuidado: la IA puede robar tus huellas dactilares ...
-
GitHub Action comprometida filtra credenciales a d...
-
Atacantes usan Cloudflare para exfiltrar archivos ...
-
Detectan un fallo en Android que expone tu conexió...
-
Sony dejará de lanzar exclusivos en PC
-
Gen Z recupera el Discman por Spotify
-
Compañía Aérea prohíbe robots humanoides en sus vu...
-
Jefe de IA de Microsoft predice robots en oficinas...
-
MiniPlasma: un PoC reabre una escalada local a SYS...
-
Microsoft eliminará la tecla Copilot de Windows 11
-
Drupal lanzará actualizaciones críticas de segurid...
-
Movistar y Sony prueban 5G ultrarrápido en España
-
Novedades de Gemini en el Google I/O
-
Microsoft publica Azure Linux 4.0
-
Lo que publicas en Instagram lo están usando para ...
-
Microsoft confirma que hay problemas con las actua...
-
A falta de días para la huelga se filtra que Samsu...
-
Vulnerabilidades en el gateway de correo SEPPMail ...
-
LineShine, el super ordenador de China con 2,4 mil...
-
Claude Mythos halla fallos críticos en sistemas y ...
-
Mythos crea exploits PoC en investigación automati...
-
UE 5.8 lleva Ray Tracing a Switch 2
-
Barreras a la reparación de productos
-
Usan cuentas de Microsoft Entra ID para robar dato...
-
Grabaron su propio ciberataque en Teams
-
PlayStation Plus sube sus precios
-
Etiquetas populares de GitHub Action redirigidas a...
-
Las gafas inteligentes de Ray-Ban Meta permitirán ...
-
IA satura la lista de seguridad de Linux
-
Linux suma Nvidia Reflex y AMD Anti-Lag para todo GPU
-
Gemini supera a ChatGPT con su nuevo nivel de pens...
-
El test de Lovelace es una versión más exigente de...
-
Reaper: el malware que roba contraseñas y billeter...
-
Cómo borrar tus datos de Claude
-
IA dispara precio eléctrico en EE.UU. un 76%
-
Otro paquete de npm cae víctima de un clon de Shai...
-
Vulnerabilidad crítica en plugin Burst Statistics ...
-
Malta regalará ChatGPT Plus bajo una condición: qu...
-
WhatsApp lanza mensajes temporales inteligentes
-
Musk pierde juicio contra OpenAI
-
Grok Build: la IA de Elon Musk que programa por ti
-
NVIDIA Vera Rubin consumirá aproximadamente 6.041 ...
-
Un 60% de los jugadores de PC no planea comprarse ...
-
Linux domina los superordenadores
-
Aprende Linux con estos 4 juegos
-
CHUWI UniBook: rival directo del MacBook Neo con C...
-
Operación Ramz de INTERPOL desarticula redes de ci...
-
Estudiantes universitarios abuchean discursos de g...
-
ASUS ROG NUC 16: el mini-PC definitivo
-
-
▼
mayo
(Total:
695
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Un exploit zero-day llamado YellowKey permite abrir unidades con BitLocker usando archivos en un USBEl investigador Chaotic Eclipse ha revelado dos vulnerabilidades críticas: YellowKey y GreenPlasma. YellowKey permite acceder a discos prote... -
Un ataque de cadena de suministro a gran escala ha alertado a los desarrolladores de software en todo el mundo, después que comprometieran ...
Vulnerabilidad crítica de Marimo permite ejecución remota de código
Una vulnerabilidad de seguridad crítica en el framework de notebooks de Python, Marimo, está siendo explotada activamente para lograr la ejecución remota de código (RCE) previa a la autenticación, lo que permite a los atacantes obtener el control total de los sistemas expuestos.
Identificada como CVE-2026-39987, la falla se debe a la falta de una comprobación de autenticación en un endpoint de terminal WebSocket, lo que permite a los atacantes generar shells a nivel de sistema sin necesidad de iniciar sesión.
Los investigadores de seguridad advierten que la vulnerabilidad ya está siendo utilizada para desplegar el malware NKAbuse, con payloads alojados en Hugging Face Spaces, una plataforma cada vez más popular para compartir herramientas de IA y aplicaciones de aprendizaje automático.
Vulnerabilidad de Seguridad de Marimo
El problema afecta a las versiones de Marimo ≤ 0.22.x en relación con el endpoint WebSocket /terminal/ws.
Debido a un control de acceso inadecuado, el endpoint acepta conexiones no autenticadas. Lanza directamente una sesión de pseudo-terminal (PTY) utilizando pty.fork().
A diferencia de otros endpoints protegidos, /terminal/ws carece de la aplicación de autenticación, lo que crea una brecha de seguridad crítica.
El problema surge de la falta de comprobaciones de control de acceso en el manejador de WebSocket:
@router.websocket("/terminal/ws")
async def websocket_endpoint(websocket: WebSocket) -> None:
await websocket.accept()
child_pid, fd = pty.fork() # Genera shell del sistemaUna vez conectados, los atacantes obtienen acceso interactivo a la shell y pueden ejecutar comandos arbitrarios en el sistema anfitrión.
.webp)
Marimo se utiliza ampliamente como una alternativa moderna a Jupyter Notebook, particularmente en:
- Prototipado de IA y aprendizaje automático.
- Experimentos de ciencia de datos.
- Paneles de análisis internos.
- Flujos de trabajo de investigación e ingeniería.
Estos entornos suelen ejecutarse en contenedores o infraestructura en la nube, con acceso a recursos sensibles como claves API, bases de datos y servicios internos.
Debido a que Marimo ejecuta código Python real e interactúa directamente con el sistema, la explotación de este fallo conduce a un compromiso inmediato y completo.
Un exploit básico de Python se ve así:
import websocket
ws = websocket.WebSocket()
ws.connect("ws://target:2718/terminal/ws")
ws.send("id\n")
print(ws.recv())
ws.close()Según Resecurity, la explotación es sencilla y no requiere autenticación.
- El atacante se conecta a
ws://target:2718/terminal/ws. - El servidor acepta la conexión sin validar la identidad.
- Se genera una shell respaldada por PTY en el sistema.
- El atacante ejecuta comandos como
whoamieid, o ejecuta scripts de extracción de datos.
Esto convierte efectivamente la instancia vulnerable en una terminal accesible remotamente.
.webp)
Los actores de amenazas están aprovechando la falla para distribuir el malware NKAbuse, extrayendo payloads de repositorios alojados en Hugging Face.
Esto resalta una tendencia creciente en la que se abusan de plataformas de IA legítimas para distribuir herramientas maliciosas, mimetizándose con la actividad normal de los desarrolladores.
Una explotación exitosa puede resultar en:
- Compromiso total del sistema mediante RCE previa a la autenticación.
- Exposición de datos sensibles, incluidos archivos .env, claves API y credenciales.
- Movimiento lateral a través de redes internas.
- Persistencia mediante trabajos de cron o scripts de inicio.
- Escape de contenedor o compromiso a nivel de host en entornos mal configurados.
- Robo de modelos de IA y conjuntos de datos propietarios.
Debido a que las instancias de Marimo suelen estar dentro de entornos confiables, una sola brecha puede escalar a un incidente de infraestructura más amplio.
La vulnerabilidad surge de un modelo de seguridad de WebSocket defectuoso. Aunque Marimo utiliza un middleware de autenticación, no aplica el control de acceso a nivel de endpoint. Como resultado:
- Endpoint
/ws→ correctamente protegido. - Endpoint
/terminal/ws→ sin comprobaciones de autenticación.
Esta inconsistencia crea una omisión de autenticación, exponiendo una funcionalidad peligrosa directamente a los atacantes.
Mitigación y Recomendaciones
Se insta a las organizaciones a tomar medidas inmediatas:
- Actualiza a Marimo 0.23.0 o posterior.
- Evita exponer las instancias a redes públicas.
- Restringe el acceso utilizando VPNs o proxies inversos autenticados.
- Ejecuta los contenedores como no root y limita los privilegios.
- Rota los secretos y elimina los datos sensibles de los entornos de notebooks.
- Monitorea la actividad sospechosa de WebSocket y el comportamiento de generación de shells.
Tus equipos de seguridad deberían asumir un posible compromiso y buscar proactivamente mecanismos de persistencia o movimientos laterales inusuales.
Esta vulnerabilidad subraya una lección crítica: los endpoints de WebSocket requieren una aplicación explícita de la autenticación.
En entornos de alto riesgo, como las plataformas de IA y ciencia de datos, incluso un solo descuido puede abrir la puerta a la toma total del sistema.
Fuentes:
https://cybersecuritynews.com/marimo-security-vulnerability/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.