X-twitter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

CISA y FBI alertan sobre las vulnerabilidades de desbordamiento de búfer y la necesidad de un desarrollo seguro desde el diseño

Las agencias instan a la industria del software a eliminar estas fallas mediante el uso de lenguajes de programación seguros y mejores prácticas de desarrollo.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) y el Buró Federal de Investigaciones (FBI) han emitido una alerta conjunta dentro de la iniciativa Secure by Design, en la que destacan la gravedad de las vulnerabilidades de desbordamiento de búfer, una de las fallas de seguridad más explotadas por los actores maliciosos.

Las vulnerabilidades de desbordamiento de búfer, catalogadas bajo la clasificación CWE-119, permiten a los atacantes acceder o escribir información en partes no autorizadas de la memoria de un sistema. Este tipo de errores puede generar desde corrupción de datos y exposición de información sensible hasta la ejecución de código malicioso y el control total del sistema.

A pesar de que existen metodologías efectivas para prevenir estas vulnerabilidades, muchos fabricantes continúan utilizando prácticas de desarrollo inseguras, lo que representa un riesgo significativo para la seguridad nacional y económica. Por esta razón, CISA y el FBI instan a la industria del software a adoptar medidas concretas para eliminar este tipo de fallos en sus productos desde la fase de diseño.

Principales riesgos de los desbordamientos de búfer

Existen dos tipos principales de desbordamientos de búfer:

  • Desbordamientos basados en pila (CWE-121): Ocurren cuando un programa escribe más datos en la pila de los que puede manejar, sobrescribiendo información crítica.
  • Desbordamientos basados en montón (CWE-122): Se producen cuando se escribe en áreas de memoria dinámicamente asignadas, lo que puede comprometer la estabilidad del sistema.

Algunos ejemplos recientes de vulnerabilidades explotadas incluyen:

Estos fallos han sido utilizados por actores maliciosos para obtener acceso inicial a redes corporativas y expandir su alcance dentro de las mismas.

Recomendaciones para prevenir los desbordamientos de búfer

CISA y el FBI recomiendan una serie de medidas clave para mitigar y eliminar estas vulnerabilidades:

1. Uso de lenguajes de programación seguros

  • Optar por lenguajes con gestión segura de memoria, como Rust, Go o Swift, en lugar de lenguajes tradicionalmente inseguros como C o C++.
  • Evitar desactivar las garantías de seguridad de los lenguajes seguros.

2. Implementación de protecciones en compiladores

  • Habilitar banderas de seguridad en compiladores, como Stack Canaries y Address Space Layout Randomization (ASLR), para mitigar la explotación de fallas.

3. Uso de herramientas de análisis y pruebas de seguridad

  • Ejecutar herramientas como AddressSanitizer y MemorySanitizer para detectar problemas en tiempo de ejecución.
  • Aplicar técnicas como fuzzing y análisis estático de código para identificar vulnerabilidades antes del despliegue.

4. Desarrollo de una hoja de ruta hacia la seguridad de la memoria

  • Establecer un plan progresivo para reescribir los segmentos más críticos del código en lenguajes seguros.
  • Documentar los casos anteriores de desbordamientos de búfer y aplicar análisis de causa raíz para eliminar fallos similares en el futuro.

5. Transparencia y rendición de cuentas en seguridad

  • Publicar reportes de seguridad detallados que indiquen cómo los fabricantes están abordando estos problemas.
  • Adoptar prácticas de divulgación responsable de vulnerabilidades, asegurando que los usuarios sean informados de posibles riesgos.

Eliminación de vulnerabilidades: un objetivo alcanzable

CISA y el FBI enfatizan que la industria del software debe avanzar hacia la eliminación completa de las vulnerabilidades de desbordamiento de búfer, en lugar de depender de soluciones temporales. Adoptar enfoques seguros desde el diseño reducirá la carga sobre los usuarios y minimizará el riesgo de ataques.

El llamado de las agencias es claro: los fabricantes de software deben asumir la responsabilidad de la seguridad de sus productos y garantizar que estos sean seguros desde su desarrollo. Al mismo tiempo, instan a los consumidores a exigir soluciones seguras y a verificar que las empresas cumplan con estos estándares antes de adquirir software.

Compromiso con la seguridad por diseño

Las agencias recuerdan que el enfoque de Secure by Design ha sido respaldado por 17 agencias de ciberseguridad a nivel mundial, incluyendo la Casa Blanca, la Agencia de Seguridad Nacional (NSA) y empresas tecnológicas como Google, Microsoft y Amazon.

Finalmente, CISA y el FBI reiteran que la seguridad del software no puede depender de soluciones reactivas, sino que debe integrarse como un principio esencial en la ingeniería de productos.

vía: Cisa.gov

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Noticias Cloud

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Las empresas se preparan para el futuro: los PC con IA serán clave en la productividad empresarial

La industria de semiconductores exige a Europa una estrategia más ambiciosa para competir a nivel global

NVIDIA domina el mercado de servidores con GPU: más del 90 % de cuota y crecimiento récord impulsado por la inteligencia artificial

Boston Dynamics refuerza su alianza con NVIDIA para impulsar la Inteligencia Artificial en robots humanoides

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.