Saltar al contenido
Volver al Blog

noticias · 10 min de lectura

Boletín — abril 2024

Anthropic publica many-shot jailbreaking el 2. Palo Alto GlobalProtect cae como zero-day el 12. MITRE admite ser breached vía Ivanti el 19. Cisco ASA + ArcaneDoor el 24. Meta libera Llama 3. Sisense fuerza reset masivo. LayerSlider SQLi pre-auth.

· Manuel López Pérez · noticias

Anthropic publica many-shot jailbreaking el 2. Palo Alto GlobalProtect cae como zero-day el 12. MITRE admite ser breached vía Ivanti el 19. Cisco ASA + ArcaneDoor el 24. Meta libera Llama 3. Sisense fuerza reset masivo. LayerSlider SQLi pre-auth.

Abril empuja la categoría edge appliance otra vez al primer plano (Palo Alto, Cisco, Ivanti vía MITRE) mientras Anthropic publica el primer paper público que enmarca el contexto largo como superficie de ataque. Meta libera Llama 3 abriendo la siguiente ronda de open-weights frontier. Y por debajo, el patrón SaaS posture asoma con Sisense forzando reset masivo de credenciales de cliente.

Many-shot jailbreaking — Anthropic, 2 de abril

Many-shot jailbreaking — Anthropic, 2 de abril

2 de abril. Anthropic publica el paper Many-shot Jailbreaking (Anil et al.) y un blog post explicativo. La técnica: meter cientos de pares pregunta dañina → respuesta dañina simulados en la ventana de contexto antes de la pregunta real. El in-context learning del modelo aprende del patrón visible y completa el último turno «en línea». Escala por ley de potencias hasta los cientos de shots; en algunas categorías de daño llega al 70 % de éxito a 256 shots contra Claude 2.0.

Lo que importa estructuralmente: la ventana de contexto que pasa de 4k (2023) a 200k–1M (2024) es capability y attack surface a la vez. Los safety classifiers que miran solo el último turno no escalan; Anthropic reporta que una mitigación que clasifica y reescribe el input entero baja un ataque del 61 % al 2 % de éxito.

Análisis técnico, repro contra Llama-3-8B-Instruct y curva de la ley de potencias en el post dedicado.

Fuente: https://www.anthropic.com/research/many-shot-jailbreaking

CVE-2024-3400 — Palo Alto GlobalProtect zero-day

CVE-2024-3400 — Palo Alto GlobalProtect zero-day

12 de abril. Palo Alto publica advisory por command injection pre-auth en PAN-OS GlobalProtect. CVSS 10.0. El parámetro SESSID de la cookie se interpola en un comando shell que construye el path de un archivo de telemetría sin sanitización — metacaracteres ganan ejecución como root. Volexity rastrea explotación in-the-wild por UTA0218 (Operation MidnightEclipse) desde el 26 de marzo, primer compromiso confirmado el 10 de abril.

UTA0218 deploya UPSTYLE, un backdoor en Python que se instala como system.pth en site-packages (Python lo importa en cada arranque del intérprete; persistencia sin cron) y monitoriza el log de errores de nginx esperando un patrón img[<base64>] en URLs inexistentes.

El primer batch de hotfixes llega el 14 de abril; el resto entre el 15 y el 18. CISA mete el CVE en KEV el 15. 18 de abril PoC público de watchTowr — a partir de ahí, explotación masiva por todos los actores con acceso al boletín.

Análisis técnico del chain SESSID → shell → UPSTYLE en el post dedicado.

Fuente: https://security.paloaltonetworks.com/CVE-2024-3400 · https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/

MITRE breached vía Ivanti — 19 de abril

19 de abril. MITRE publica un comunicado firmado por su CTO Charles Clancy confirmando que un actor foreign nation-state accedió a NERVE (Networked Experimentation, Research, and Virtualization Environment), una red de I+D del propio MITRE. Vector inicial: las dos CVE de Ivanti Connect Secure que cubrimos en enero — CVE-2023-46805 + CVE-2024-21887.

Cronología que MITRE detalla:

  • Enero 2024: reconocimiento del actor contra los appliances Ivanti de MITRE. Coincide con la divulgación de Volexity el 10 de enero.
  • Ivanti emite parche y guidance. MITRE aplica los fixes y sigue las recomendaciones del vendor.
  • El actor mantiene sesión vía session hijack (los tokens robados antes del patch siguen válidos — el patrón que ya enseñó Citrix Bleed).
  • Lateraliza a la infraestructura VMware desde NERVE usando una cuenta de admin comprometida.
  • MITRE detecta el movimiento lateral en abril y publica el incidente.

La frase de Clancy en el comunicado es la que se va a citar todo 2024: «seguimos las mejores prácticas, las instrucciones del vendor y los avisos del gobierno para actualizar, reemplazar y endurecer nuestro Ivanti, pero no detectamos el movimiento lateral a VMware». Es el patrón Ivanti aplicado a MITRE — la organización que mantiene el catálogo ATT&CK — y reconocido públicamente. Hace muy difícil sostener que la responsabilidad cae en organizaciones que no parchean.

Fuente: https://www.mitre.org/news-insights/news-release/mitre-response-cyber-attack-one-its-rd-networks

Cisco ASA — ArcaneDoor (CVE-2024-20353 + CVE-2024-20359)

Cisco ASA — ArcaneDoor (CVE-2024-20353 + CVE-2024-20359)

24 de abril. Cisco Talos publica el informe ArcaneDoor: un actor sospechado state-sponsored, trackeado como UAT4356 (STORM-1849 por Microsoft), explota dos zero-days en Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD):

  • CVE-2024-20353 — DoS por parsing incompleto de header HTTP; el atacante fuerza un reboot del appliance.
  • CVE-2024-20359 — code execution vía un ZIP malformado en el client_bundle pre-cargado, que ASA ejecuta como Lua al arrancar.

El chain: 20353 fuerza reboot, 20359 deja un Lua persistente que sobrevive a reboots y actualizaciones. Cisco identifica dos implantes:

  • Line Dancer: shellcode interpreter en memoria. El operador manda shellcode a través del campo host-scan-reply de una request legítima de ASA, Line Dancer lo ejecuta. Capacidades: exfiltrar configuración, desactivar logging, hooking del crash dump (anti-forensics), bypass AAA con magic number.
  • Line Runner: backdoor HTTP en Lua que persiste vía la funcionalidad pre-loading del client bundle. Se activa cada vez que ASA arranca.

Talos documenta actividad de desarrollo desde julio de 2023 y testing/operaciones desde diciembre de 2023 a enero de 2024. Disclosure llega cuatro meses después de los primeros operativos. Targets: redes gubernamentales globales. El patrón state-sponsored, edge appliance, persistencia firmware-adjacent es el que se ha vuelto rutina en 2024 — Volt Typhoon a inicio de año, UTA0178 contra Ivanti, UTA0218 contra Palo Alto, ahora UAT4356 contra Cisco.

Fuente: https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/ · https://www.cisa.gov/news-events/alerts/2024/04/24/cisco-releases-security-updates-addressing-arcanedoor-vulnerabilities-cisco-firewall-platforms

Meta libera Llama 3 — 18 de abril

18 de abril. Meta publica Llama 3 8B y Llama 3 70B, ambos en variantes base y Instruct. Pretraining en 15T tokens (7x el de Llama 2). Vocab de 128k tokens. Grouped Query Attention en ambos tamaños. Contexto inicial 8k — Meta avisa que vendrán versiones de contexto largo en los siguientes meses. El modelo grande (>400B) está entrenándose y llega más adelante en el año.

Lo relevante para AI security:

  • Open weights frontier vuelve a tener un competidor serio. Llama 3 70B-Instruct queda al nivel de Claude 3 Sonnet en evals comparativas. Permite reproducir investigación de seguridad —incluyendo many-shot jailbreaking del 2 de abril— en hardware razonable.
  • Llama Guard 2, Code Shield, CyberSec Eval 2: Meta empaqueta herramientas de safety y eval. No reemplazan defensa propia, pero el repositorio queda como baseline reproducible.
  • El contexto de 8k es ya estrecho para muchos casos del 2024. Las versiones con 128k+ llegan en julio (Llama 3.1) y se convierten en target estándar de la repro de papers de jailbreak.

Fuente: https://ai.meta.com/blog/meta-llama-3/

Sisense — CISA fuerza reset masivo

11 de abril. CISA publica una alerta urgente: los clientes de Sisense —analytics SaaS con clientes Verizon, Nasdaq, Air Canada, plus presencia en healthcare y critical infrastructure US— deben rotar todo lo que pasó por Sisense: passwords, API tokens, SSO secrets (JWT/SAML/OpenID), Active Directory sync credentials, GIT auth, database credentials, web access tokens, custom email server creds.

El vector: atacantes accedieron al GitLab self-hosted de Sisense y encontraron credenciales que daban acceso a buckets S3 con backups de cliente. Krebs reporta que el exfil incluye «varios terabytes», con millones de tokens de acceso y certificados SSL entre el material extraído. CISA no atribuye públicamente, pero el patrón — token de larga vida en repositorio + credencial estática en S3 — es exactamente lo que Snowflake / UNC5537 va a explotar a otra escala en mayo–junio.

Lectura operacional: si tu producto SaaS pide al cliente que le pase passwords/tokens directos en lugar de delegar via OAuth/JWT cortos, esas credenciales son material exfiltrable en cualquier breach de tu vendor.

Fuente: https://www.cisa.gov/news-events/alerts/2024/04/11/compromise-sisense-customer-data · https://krebsonsecurity.com/2024/04/why-cisa-is-warning-cisos-about-a-breach-at-sisense/

LayerSlider WordPress SQLi pre-auth — CVE-2024-2879

27 de marzo (parche) / 2 de abril (disclosure pública). Wordfence reporta SQL injection no autenticado en el plugin LayerSlider para WordPress, versiones 7.9.11 a 7.10.0. CVSS 9.8. La acción ls_get_popup_markup no escapa el input del parámetro id antes de meterlo en una query con $wpdb->prepare() mal usado — time-based blind SQLi contra la base de datos completa, incluyendo wp_users.

LayerSlider declara «1M+ instalaciones activas» en wordpress.org; otros agregadores citan cifras mayores combinando ventas directas. Wordfence paga un bounty de $5.500 al investigador.

El caso es ordinario en mecánica (SQLi en plugin WordPress, the bread and butter de WPScan) pero relevante en surface area: un plugin con un millón de instalaciones es un target estable. El parche llega el 27 de marzo, antes de disclosure; la mayoría de sitios auto-actualizan en una semana, lo cual deja una ventana de explotación corta pero existente.

Fuente: https://www.wordfence.com/blog/2024/04/5500-bounty-awarded-for-unauthenticated-sql-injection-vulnerability-patched-in-layerslider-wordpress-plugin/

Wiz × Hugging Face — el primer caso público de cross-tenant en AI-as-a-Service

Wiz × Hugging Face — el primer caso público de cross-tenant en AI-as-a-Service

Abril 2024. Wiz Research publica una serie de vulnerabilidades en Hugging Face Inference API y en el sistema de Spaces (CI/CD) que permiten:

  1. Shared inference infrastructure takeover — subir un modelo PyTorch con payload pickle (vía __reduce__) y ejecutar código dentro del contenedor de inferencia compartido. Desde ahí, leer modelos, datasets y tokens de otros clientes que comparten la misma capacidad GPU.
  2. CI/CD pipeline takeover — abuso de los Spaces para meter código en los builders que generan imágenes de inferencia, lo que permite poisoning supply chain de modelos servidos por terceros desde el momento del push.

El bug raíz no es un patrón nuevo (pickle deserialization es conocido desde hace años), pero el contexto es nuevo: Hugging Face es la plataforma de hosting por defecto del ecosistema AI. La arquitectura asumía que el contenido del usuario (modelo subido) era plano; en realidad, cualquier .bin o .pt es un binario ejecutable disfrazado de archivo de datos. La revelación es operativa: para los millones de pipelines que tiran de HF Hub como upstream, la cadena de suministro de modelos es supply-chain de software con el rigor de un repositorio sin auditoría.

Hugging Face mitiga en colaboración con Wiz: aislamiento por tenant, escaneo automático de pickle con Picklescan al subir, recomendación de safetensors como formato alternativo seguro. Lasso Security publica en diciembre 2023 (referencia previa) tokens API expuestos por descuido en miles de repos HF. Las dos investigaciones consolidan AI-as-a-Service como categoría de cloud security con riesgos específicos distintos a SaaS tradicional.

Fuente: https://www.wiz.io/blog/wiz-and-hugging-face-address-risks-to-ai-infrastructure · https://thehackernews.com/2024/04/ai-as-service-providers-vulnerable-to.html

Resto del mes

  • Roku breach (12 abr) — 576.000 cuentas comprometidas vía credential stuffing. Segundo incidente del año tras 15.000 en marzo. Llama a la categoría TV/streaming a implementar enforcement de MFA, hasta ahora opcional.
  • CrushFTP CVE-2024-4040 (19 abr) — server-side template injection / sandbox escape en CrushFTP, exploitation in-the-wild reportada por CrowdStrike. Otro MFT en la lista de zero-days del año, mismo patrón que MOVEit en 2023.
  • Cisco Duo telephony provider breach (10 abr) — un proveedor de SMS de Cisco Duo es comprometido y se exfiltran logs con números de teléfono y metadatos de SMS de MFA. No content, sí metadata suficiente para social engineering targeting.
  • Apple notifica víctimas de mercenary spyware en 92 países (10 abr) — segunda ola del año tras la de octubre 2023. El patrón sigue.

Patrón del mes

Tres lecturas que abril deja sobre la mesa:

1. Edge appliance es categoría de riesgo, no caso aislado. Cuatro vendors (Ivanti, Palo Alto, Cisco, más MITRE como víctima) caen con el mismo perfil de actor: state-sponsored, persistencia firmware-adjacent, parche llega después de meses de explotación. La pregunta operativa para 2024 pasa de ¿cuál es el próximo bug? a ¿cuál es nuestro plan cuando el siguiente caiga? El blast radius de un firewall comprometido como root supera lo que un parche puede limpiar; Enhanced Factory Reset (PAN-OS) o reinstalación completa son las opciones operativas reales.

2. SaaS posture entra en escena. Sisense en abril, Snowflake en mayo–junio: el target deja de ser el servicio del cliente y pasa a ser el vendor SaaS que tiene credenciales de cliente guardadas. Cualquier integración con SaaS de terceros que pida passwords/tokens estáticos es ahora factor de riesgo de cuarta parte (third-party of third-party). OAuth con scopes mínimos + rotation rutinaria pasa de best practice a requisito.

3. AI security encuentra su primer paper estructural de 2024. Many-shot jailbreaking es la primera demostración pública de que el aumento de contexto requiere defensa proporcional, no un truco curioso. La industria responde en semanas, pero el patrón general (atacar la asunción sobre la que se monta el alignment) se va a repetir en septiembre con o1 y reasoning models, y en octubre con Computer Use y agentic.

Nos vemos en mayo con Recall — Microsoft anuncia el 20, Beaumont y Forshaw lo destrozan el 23 — y el inicio de la temporada Snowflake.

Share:
Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Boletín — septiembre 2025

noticias · 12 min

Boletín — septiembre 2025

El mes en que ArcaneDoor volvió con bootkit en la ROM. Cisco saca el advisory de emergencia para CVE-2025-20333 y CVE-2025-20362 el 25 de septiembre y CISA emite ED 25-03 el mismo día; Apple lanza iPhone 17 con Memory Integrity Enforcement, la primera defensa de memory safety always-on en producto de consumo; Salesforce parchea ForcedLeak en Agentforce; Jaguar Land Rover frena producción tres semanas; Asahi Japan pierde la cadena de distribución entera.

· Manuel López Pérez

Boletín — noviembre 2024

noticias · 9 min

Boletín — noviembre 2024

Anthropic publica MCP el 25 de noviembre. Palo Alto suma CVE-2024-0012 + CVE-2024-9474 al catálogo KEV, explotación as zero-day documentada por watchTowr. T-Mobile aparece en el listado oficial de Salt Typhoon. Hot Topic ve 56 millones de cuentas filtradas. HellCat reincide contra Schneider Electric. Connor Moucka consiente extradición.

· Manuel López Pérez

Boletín — octubre 2024

noticias · 10 min

Boletín — octubre 2024

La semana en que el agente AI movió el ratón: Anthropic lanza computer use el 22-oct y Rehberger publica el primer ZombAI el 24. Detrás: FortiManager exploited as zero-day, Internet Archive expone 31M cuentas, Ivanti CSA con tres CVEs en explotación, NIS2 vence sin transponer en España. Microsoft cierra dos zero-days en Patch Tuesday y OpenAI lanza ChatGPT Search.

· Manuel López Pérez