Kaspersky descubre siete brechas de seguridad en dos proyectos de código abierto
- Actualidad
La compañía avisa de que ha identificado hasta siete vulnerabilidades en dos proyectos de código abierto, Suricata y FreeRDP. Dos de las brechas de seguridad, descubiertas durante pruebas de seguridad basadas en KasperskyOS, permiten la ejecución de código arbitrario.
De las siete vulnerabilidades que ha descubierto Kaspersky en los proyectos de código abierto Suricata y FreeRDP, la compañía considera que hay dos que son especialmente delicadas. Se trata de CVE-2024-32664 y CVE-2024-32039, con las que los atacantes podrían ejecutar código arbitrario, mientras que otras facilitarían el acceso no autorizado a la memoria.
Las brechas se descubrieron durante las pruebas de pentesting previas al lanzamiento con productos basados en KasperskyOS, entre los que la compañía destaca Kaspersky Thin Client (KTC) y Kaspersky IoT Secure Gateway (KISG). Los desarrolladores de Suricata y FreeRDP validaron los hallazgos y asignaron siete CVE: FreeRDP (CVE-2024-32041; CVE-2024-32039; CVE-2024-32040; CVE-2024-32458; CVE-2024-32459; CVE-2024-32460) y Suricata (CVE-2024-32664).
Kaspersky avisa a los usuarios de estos proyectos de código abierto de la importancia de actualiza con la versión más reciente sus sistemas para estar protegidos. En el momento en el que la compañía emitió su comunicado, las versiones más actualizadas de ambos proyectos eran Suricata 6.0.19 y 7.0.5; y FreeRDP 2.11.7 y 3.5.1.
Denis Skvortsov, especialista principal en Seguridad de Aplicaciones en Kaspersky, explica que “el principio de ‘seguridad desde el diseño’ se extiende más allá de la arquitectura del sistema para abarcar todo el proceso de desarrollo. Al probar rigurosamente todos los componentes del sistema antes de su lanzamiento, hemos contribuido a resolver graves problemas en dos proyectos de código abierto ampliamente utilizados. Agradecemos a los responsables de Suricata y FreeRDP su rápida respuesta a nuestros hallazgos y el rápido despliegue de los parches”.