Hay un vulnerabilidad del tren haciendo las rondas esta semana. La investigación proviene de [midwestneil]quien primero descubrió un problema en 2012 e intentó dar la alarma.
Resulta que puedes hackear cualquier tren en los Estados Unidos y tomar el management sobre los frenos. Esto es CVE-2025-1727 y me llevó 12 años publicar esto. Esta vulnerabilidad todavía no está parcheada. Aquí está la historia:
– Neils (@midwestneil) 11 de julio de 2025
Para comprender el problema, primero tenemos que hablar sobre el cola. El Caboose fue el último automóvil en el tren, sirvió como oficina para el conductor, y la estación para que los trabajadores del trenes trabajen mientras tendían al tren y buscaban problemas. Dos detalles más importantes sobre el Caboose es que llevaba los marcadores iluminados para indicar el closing del tren, y period parte del sistema de ruptura del tren. En los Estados Unidos, en la década de 1980, el Caboose se eliminó gradualmente y se reemplazó con dispositivos Automated Finish of Prepare (EOT).
Estos dispositivos se usaron para monitorear de forma inalámbrica el sistema de frenos de aire del tren, controlar el dispositivo trasero intermitente (Fred) e incluso activar los frenos en una emergencia. Ahora aquí está el elemento de seguridad. ¿Cómo funcionó la criptografía en esa señal inalámbrica en la década de 1980? ¿Y se ha actualizado desde entonces?
La única “criptografía” en juego en el sistema Fred es una suma de verificación BCH, que no es una herramienta de cifrado o autenticación, sino un algoritmo de corrección de errores. Y aunque Otro investigador descubrió este problema y lo informó desde 2005los sistemas todavía están utilizando sistemas inalámbricos de la period de los años 1980. Ahora que CISA y varios medios de comunicación han elegido la vulnerabilidad, la Asociación de Ferrocarriles Americanos finalmente lo está reconociendo y comenzando a trabajar en la actualización.
Poner los secretos de Github a trabajar
Hemos cubierto la minería secreta de Github varias veces en esta columna en el pasado. Esta semana cubrimos Investigación de Gitguardian y Synacktiv, descubriendo cómo poner un secreto filtrado específico para usar. El objetivo aquí es Laravadoun marco PHP de código abierto. Laravel es realmente impresionante, y los sitios construidos con esta herramienta utilizan una APP_KEY Para cifrar cosas como cookies, claves de sesión y tokens de restablecimiento de contraseña.
Laravel proporciona el encrypt() y decrypt() Funciones para facilitar ese proceso. El decrypt() La función incluso hace la deserialización automáticamente. … Es posible que puedas ver a dónde va esto. Si un atacante tiene el APP_KEYy puede convencer a un sitio de Laravel para que descifra datos arbitrarios, es possible que haya una forma de activar la ejecución del código remoto a través de un ataque de deserialización, particularmente si el backend no está completamente actualizado.
Entonces, ¿qué tan malo es el problema? Al sacar de sus registros de Github, Gitguardian encontró 10,000 APP_KEYs. 1.300 de las cuales también incluían URL, y 400 de ellas podrían validarse como todavía en uso. La lección aquí es una vez más, cuando accidentalmente presiona un secreto a GitHub (o en cualquier lugar del público en Web), debe rotar ese secreto. Solo forzar presionar sobre su error no es suficiente.
Cebre casera falsa
Hay un caso que se debe hacer que los navegadores deberían bloquear los anuncios simplemente para mitigar el riesgo de seguridad que viene junto con los anuncios en la net. El caso en cuestión es el falso malware de instalación de casería casera. Este artículo proviene del equipo de seguridad en Deriv, donde un dispositivo MacOS activó las alarmas de seguridad. La investigación reveló que un empleado estaba tratando de instalar Homebrew, buscó las instrucciones y hizo clic en un resultado patrocinado en el motor de búsqueda. Esto condujo a un proyecto GitHub de aspecto legítimo que contenía solo un ReadMe con un solo comando para instalar automáticamente Homebrew.
El comando descarga y ejecuta un script que realmente instala casería. También solicita y guarda la contraseña del usuario, y deja caer un cargador de malware. Esta historia tiene un closing feliz, con el software program de seguridad de la compañía atrapando el malware de inmediato. Este es otro ejemplo de por qué es una tontería ejecutar comandos de Web sin saber exactamente lo que hacen. Sin mencionar que este es exactamente el escenario que condujo a la creación de Workbrew.
Inyección SQL
Sí, es 2025, y todavía estamos cubriendo inyecciones de SQL. Esta vulnerabilidad en el conector de tela Fortiweb de Fortinet fue descubierto independientemente por [0x_shaq] y la gente de Watchtowr. El defecto aquí es el get_fabric_user_by_token() función, que lamentablemente agrega el token dado directamente a una consulta SQL. De ahí la prueba de concepto:
GET /api/cloth/gadget/standing HTTP/1.1
Host: 192.168.10.144
Authorization: Bearer 123'//or//'x'='x
Y si la inyección easy no fue suficiente, la redacción de WatchToWr administra una ejecución de código remoto directo (RCE) de un usuario no autenticado, a través de una consulta SQL que contiene una os.system() llamar. Y dado que MySQL se ejecuta como raíz en estos sistemas, eso es casi todo lo que uno podría pedir.
AI guió ataques de IA
La historia más intrigante de esta semana es de [Golan Yosef]describiendo Una sesión de investigación de ambientes con el Claude LLM. La configuración es una cuenta de Gmail y el servidor Gmail MCP para alimentar correos electrónicos spam al escritorio de Claude, y el servidor Shell MCP instalado en esa máquina. El objetivo es convencer a Claude para que tome una acción maliciosa en respuesta a un correo electrónico entrante y no solicitado. El primer intento falló, y de hecho la instalación native de Claude advirtió [Golan] que el correo electrónico puede ser un ataque de phishing. Donde esta investigación ligeramente interesante toma un giro realmente interesante, es cuando le preguntó a Claude si tal ataque podría funcionar alguna vez.
Claude dio algunos escenarios en los que tal ataque podría tener éxito, y [Golan] Señaló que cada nueva conversación con Claude es una pizarra en blanco. Esto llevó a un intercambio extraño donde la instancia en ejecución de Claude interpretaría a un investigador de seguridad y escribiría correos electrónicos destinados a engañar a otra instancia de Claude para hacer algo que no debería. [Golan] Se enviaría los correos electrónicos a sí mismo, recopilaría el resultado y luego volvería y le diría al investigador Claude lo que sucedió. Es un escenario bastante extraño. Y eventualmente funcionó. Después de múltiples intentos, Claude escribió un correo electrónico que pudo obligar a la nueva instancia de Claude para manipular el sistema de archivos y ejecutar calc.exe. Este es casi la confusión guiada por IA que inevitablemente cambiará la investigación de seguridad. Sería interesante automatizar el proceso, así que [Golan] No tenía que hacer el trabajo ocupado de barajar los mensajes entre las dos iteraciones de Claude. Estoy seguro de que cubriremos muchas más historias en esta línea en el futuro.
https://www.youtube.com/watch?v=tepgntgoqiy
Bits y bytes
SugarCrm fijó una inyección de código menos en un punto final no autenticado. Estos lanzamientos llegaron en octubre del año pasado, en las versiones 13.0.4 y 14.0.1. Si bien no hay ningún RCE en el juego aquí, esto permite la falsificación de solicitud del lado del servidor o las lecturas de archivos arbitrarios.
Cryptojacking es la técnica donde un sitio net malicioso incrusta un minero criptográfico en el sitio. Y aunque fue particularmente in style en 2017-2019, las salvaguardas del navegador contra criptojacking descarado pusieron fin a la práctica. Qué Los investigadores de C/Side descubiertos es que el criptojacking todavía está sucediendomuy silenciosamente.
Hay cositas de navegador para cubrir en ambos navegadores principales. En Chrome es un escape de sandbox combinado con una función de lectura de Windows NT Con una condición de carrera, eso lo hace funcionar como una escritura primitiva. Para usarlo realmente, [Vincent Yeo] Necesitaba un escape de Sandbox Chrome.
Zdi tiene la historia de Firefox y un ataque de confusión matemática de JavaScript. Al manipular los índices de matrices y abusar del comportamiento cuando los valores enteros envuelven su valor máximo, el código malicioso podría leer y escribir a la memoria fuera de la matriz asignada. Esto se usó en PWN2own Berlin a principios de año, y Firefox parcheó el error al día siguiente. ¡Disfrutar!
