La seguridad de los sistemas de información es una preocupación creciente para las empresas mexicanas. Con el objetivo de proteger sus activos y garantizar la confidencialidad, integridad y disponibilidad de la información, cada vez más compañías están optando por realizar pruebas de penetración estándar. Estas pruebas, que buscan identificar las vulnerabilidades de los sistemas informáticos, permiten a las empresas tomar medidas para mejorar su seguridad y protegerse contra posibles amenazas.
Las empresas de Chile y todo LATAM se enfrentan cada vez a una mayor cantidad de ciberataques, lo que hace que la seguridad informática sea una prioridad para muchos negocios.
La explotación de vulnerabilidades es el acto de explotar una vulnerabilidad de seguridad en un sistema informático para obtener acceso no autorizado. Estas vulnerabilidades pueden ser explotadas para obtener acceso a información privada, comprometer la seguridad y realizar ataques.
El término “malware” engloba una variedad de amenazas informáticas que incluyen virus, gusanos, caballos de Troya, adware, spyware y otras formas de software malicioso. Estas amenazas informáticas pueden causar daños a tu computadora, incluyendo pérdida de datos, robo de información confidencial y el bloqueo de tu sistema.
Las Herramientas de Hacking Ético son una clave fundamental para los profesionales en Ciberseguridad. Estas herramientas les permiten evaluar y detectar vulnerabilidades en sistemas, aplicaciones y redes, para así poder tomar medidas correctivas para mejorar los niveles de seguridad de la organización.
En Chile, la explotación de vulnerabilidades se ha convertido en uno de los principales problemas de seguridad cibernética del país. De acuerdo con el informe de la Cámara Chilena de Seguridad Cibernética (CCHSC), el número de ataques cibernéticos realizados en el país aumentó un 57% entre 2019 y 2020. Esta cifra nos impulsa a investigar los casos más sonados de explotación de vulnerabilidades en Chile.
En un entorno donde la información es un bien preciado, la seguridad de la información es una prioridad para todas las empresas y organizaciones. Hoy en día, proteger los datos críticos de ciberataques y mantener la integridad de los datos es vital para la continuidad de cualquier negocio.
En un mundo cada vez más digital, la prevención de intrusiones en México se ha vuelto un tema crítico para la seguridad de los usuarios y empresas. Cada vez existen mejores herramientas de ciberseguridad para proteger los dispositivos y prevenir ataques, sin embargo, los ciberataques continúan siendo una amenaza real para los usuarios de internet.
El análisis de malware es una técnica utilizada para detectar, identificar y desactivar código malicioso en dispositivos y entornos informáticos. Se trata de una herramienta esencial para mantener la seguridad en un entorno digital y proteger los datos de los usuarios. Asu vez, ayuda a prevenir la propagación de virus, troyanos, spyware, ransomware y otras amenazas de seguridad cibernética. Esta técnica es especialmente útil para detectar malware desconocido, ya que los antivirus y otros productos de seguridad no siempre son capaces de detectarlo.
LimeSurvey es una aplicación de código abierto escrita en PHP, creada específicamente para realizar encuestas online. Es realmente útil para aquellos usuarios que carecen de conocimientos de programación, ayudándoles a generar un entorno para la recogida de respuestas sobre sus encuestas.
Hace un tiempo atrás, encontramos y reportamos una vulnerabilidad de descarga arbitraria de archivos en Limesurvey, la cual está registrada comoCVE-2019-9960. Esta vulnerabilidad permite a un Administrador descargar archivos internos del servidor, a través de un Directory Traversal. La vulnerabilidad afecta a las versiones <= 3.15.9+190214.
Hasta la fecha, LimeSurvey cuenta con un total de 2.192 estrellas en GitHub.
Encontrando los bugs
Cuando un usuario exporta la estructura de una encuesta al formato *.lss, se genera un modal con el botón “Descargar archivo”.
El mismo, al ser ejecutado, genera una petición GET a la siguiente URL:
LimeSurvey utiliza el formato Pretty URL, mediante el cual se realizan llamadas a diferentes acciones en los distintos controladores que componen la aplicación. La URL anterior se estructura de la siguiente manera.
Por un lado, admin/export hace referencia al controlador: