Underc0de - La Casa de los Informáticos

La velocidad con la que los ciberdelincuentes están explotando nuevas vulnerabilidades sigue aumentando, y esta vez el objetivo ha sido PraisonAI, un popular framework de orquestación multiagente basado en inteligencia artificial. Investigadores de seguridad han confirmado que actores amenazantes comenzaron a intentar explotar una falla crítica de autenticación apenas cuatro horas después de su divulgación pública.

La vulnerabilidad, identificada como CVE-2026-44338, afecta al servidor API heredado basado en Flask incluido dentro del framework y permite a atacantes no autenticados acceder a endpoints sensibles sin necesidad de proporcionar credenciales válidas.

El problema representa una seria amenaza para implementaciones expuestas a internet, especialmente en entornos donde los agentes de IA tienen acceso a recursos internos, APIs externas o credenciales sensibles.

Qué es PraisonAI y por qué esta vulnerabilidad es tan peligrosa

PraisonAI es un framework de código abierto diseñado para coordinar agentes de inteligencia artificial mediante flujos de trabajo automatizados. La plataforma permite integrar múltiples agentes IA capaces de ejecutar tareas, interactuar con APIs y procesar información de manera autónoma.

El problema descubierto reside específicamente en el servidor API heredado:

• src/praisonai/api_server.py

Según los mantenedores del proyecto, la autenticación viene deshabilitada por defecto debido a valores codificados rígidamente:

• AUTH_ENABLED = False
• AUTH_TOKEN = None

Como resultado, cualquier usuario con acceso a la API puede interactuar directamente con endpoints protegidos.

Cómo funciona CVE-2026-44338

La vulnerabilidad CVE-2026-44338 tiene una puntuación CVSS de 7,3 y permite realizar acciones críticas sin autenticación.

Entre las capacidades que un atacante podría obtener destacan:

• Enumerar archivos de configuración de agentes mediante /agents
• Ejecutar flujos de trabajo definidos en agents.yaml
• Consumir cuotas de APIs y modelos IA
• Acceder a resultados internos generados por agentes
• Manipular procesos automatizados
• Exponer información sensible

Los desarrolladores de PraisonAI advirtieron que el impacto real depende de las capacidades otorgadas a los agentes configurados dentro de agents.yaml.

En entornos avanzados, esto podría implicar acceso indirecto a:

• Claves API
• Tokens de autenticación
• Bases de datos
• Recursos cloud
• Sistemas internos automatizados

Versiones afectadas y parche disponible

La falla afecta a todas las versiones del paquete Python comprendidas entre:

• 2.5.6
• 4.6.33

El problema fue corregido oficialmente en:

• 4.6.34

El descubrimiento fue atribuido al investigador de seguridad Shmulik Cohen, quien notificó responsablemente la vulnerabilidad antes de su publicación.

Sysdig detecta intentos de explotación en menos de cuatro horas

La empresa de seguridad cloud Sysdig reveló que comenzó a observar actividad maliciosa casi inmediatamente después de hacerse público el aviso de seguridad.

Según el informe, el primer intento de explotación se produjo:

• 3 horas y 44 minutos después de la divulgación oficial

El advisory fue publicado el:

• 11 de mayo de 2026 a las 13:56 UTC

La primera actividad maliciosa fue detectada:

• 17:40 UTC del mismo día

Esto evidencia cómo los actores amenazantes monitorean constantemente nuevas divulgaciones de vulnerabilidades para automatizar ataques rápidamente.

El escáner CVE-Detector/1.0 buscaba instancias vulnerables

Los investigadores de Sysdig identificaron que los ataques provenían de la dirección IP:

• 146.190.133[.]49

El escáner utilizaba el identificador:

• User-Agent: CVE-Detector/1.0

La actividad consistió en dos fases separadas por apenas ocho minutos.

Primera fase del escaneo

La primera pasada buscó rutas genéricas comúnmente asociadas con exposiciones inseguras:

• /.env
• /admin
• /users/sign_in
• /eval
• /calculate
• /Gemfile.lock

Segunda fase enfocada en IA y agentes

La segunda ronda se enfocó específicamente en superficies relacionadas con inteligencia artificial y agentes automatizados, incluyendo PraisonAI.

La solicitud clave detectada fue:

• GET /agents

Sin encabezados de autenticación.

El servidor vulnerable respondió con:

• 200 OK

Incluyendo datos internos como:

{
  "agent_file":"agents.yaml",
  "agents":[...]
}

Según Sysdig, esta respuesta confirmó exitosamente que el bypass de autenticación funcionaba.

Los atacantes aún no desplegaron explotación completa

Los investigadores señalaron que no observaron solicitudes POST hacia el endpoint /chat, lo que indica que los actores amenazantes aún estaban realizando reconocimiento inicial en lugar de explotación activa completa.

Esto sugiere que el objetivo inmediato era:

• Verificar hosts vulnerables
• Confirmar accesibilidad
• Catalogar objetivos explotables
• Preparar futuras campañas automatizadas

Sin embargo, expertos advierten que el tiempo entre reconocimiento y explotación efectiva suele ser extremadamente corto en vulnerabilidades relacionadas con IA y automatización.

El auge de ataques contra herramientas de inteligencia artificial

La explotación acelerada de PraisonAI refleja una tendencia creciente dentro del panorama de amenazas actual: los ciberdelincuentes están ampliando rápidamente sus operaciones hacia plataformas de inteligencia artificial y frameworks de agentes autónomos.

Anteriormente, la mayoría de ataques se concentraban en:

• Servidores web
• VPNs
• Firewalls
• Aplicaciones empresariales

Ahora, los atacantes están incorporando a sus arsenales objetivos relacionados con:

• Modelos IA
• Frameworks multiagente
• Plataformas LLM
• APIs de automatización
• Infraestructura de inferencia

Según Sysdig, la ventana entre divulgación pública y explotación activa ya se mide en "horas de un solo dígito".

Recomendaciones urgentes para proteger sistemas PraisonAI

Los expertos recomiendan a organizaciones y desarrolladores aplicar inmediatamente las siguientes medidas:

Actualizar PraisonAI

Instalar urgentemente:

• Versión 4.6.34 o superior

Auditar configuraciones existentes

Revisar:

• Exposición pública del servidor API
• Configuraciones agents.yaml
• Permisos asignados a agentes IA

Rotar credenciales

Cambiar:

• Claves API
• Tokens cloud
• Secretos almacenados
• Variables de entorno sensibles

Supervisar actividad sospechosa

Buscar:

• Accesos no autorizados a /agents
• Solicitudes anómalas hacia /chat
• Consumo inusual de APIs IA
• Incrementos inesperados en facturación cloud

La seguridad en IA entra en una nueva fase crítica

La rápida explotación de CVE-2026-44338 demuestra que el ecosistema de inteligencia artificial se ha convertido oficialmente en un objetivo prioritario para actores maliciosos.

Las plataformas multiagente y frameworks de automatización poseen acceso privilegiado a modelos, datos y sistemas empresariales, lo que las convierte en objetivos extremadamente valiosos para atacantes.

A medida que las organizaciones aceleran la adopción de herramientas IA, los expertos advierten que la seguridad ya no puede considerarse un componente secundario. La velocidad con la que los atacantes adaptan sus herramientas obliga a las empresas a reducir drásticamente los tiempos de respuesta, parchado y monitoreo continuo.

La era donde los atacantes tardaban semanas en explotar nuevas vulnerabilidades parece haber quedado atrás. Ahora, el reloj comienza a correr apenas minutos después de la divulgación pública.

Fuente: https://thehackernews.com/