Underc0de

Investigadores de ciberseguridad han identificado tres vulnerabilidades en Rack Ruby, una interfaz popular para servidores web en aplicaciones Ruby, que podrían permitir acceso no autorizado, inyección de datos maliciosos y manipulación de registros. Las fallas, descubiertas por OPSWAT, representan riesgos serios para entornos que utilicen este middleware ampliamente adoptado.

Detalles de las vulnerabilidades en Rack Ruby

Las tres vulnerabilidades, registradas con identificadores CVE y puntuaciones CVSS, son las siguientes:

• CVE-2025-27610 (CVSS 7.5): Vulnerabilidad de path traversal que permite el acceso a cualquier archivo dentro del directorio raíz especificado. Si un atacante identifica las rutas adecuadas, puede acceder a archivos confidenciales.
• CVE-2025-27111 (CVSS 6.9): Vulnerabilidad de neutralización incorrecta de secuencias CRLF que puede usarse para distorsionar archivos de registro, manipulando entradas con fines maliciosos.
• CVE-2025-25184 (CVSS 5.7): Similar a la anterior, permite la inyección de datos maliciosos en archivos de registro mediante explotación de secuencias CRLF mal gestionadas.

Según el informe de OPSWAT, la más crítica es CVE-2025-27610, ya que puede ser aprovechada por actores no autenticados para extraer información sensible como configuraciones, credenciales y otros datos críticos, aumentando el riesgo de violaciones de datos.

¿Cómo se explotan estas vulnerabilidades?

La causa raíz de CVE-2025-27610 se encuentra en el middleware Rack::Static, que no sanitiza correctamente las rutas proporcionadas por el usuario al servir archivos estáticos como imágenes o JavaScript. Esto permite que un atacante use una ruta manipulada para escapar del directorio estático y acceder a otros archivos del sistema.

OPSWAT explica que si el parámetro :root no está configurado explícitamente, Rack asigna por defecto el directorio de trabajo actual (Dir.pwd) como raíz del sitio. En este contexto, una mala configuración entre :root y :urls abre la puerta a ataques de recorrido de directorios para acceder a rutas no autorizadas.

Medidas de mitigación recomendadas

Para reducir el riesgo asociado a estas vulnerabilidades en Rack Ruby, OPSWAT sugiere:

• Actualizar Rack a la última versión disponible.
• Si no es posible aplicar el parche inmediatamente, eliminar el uso de Rack::Static o garantizar que root: apunte a un directorio con archivos públicos únicamente.
• Revisar las configuraciones actuales de rutas y estructuras de archivos en aplicaciones Ruby basadas en Rack.

CVE-2025-43928: Vulnerabilidad crítica sin parche en Infodraw Media Relay Service

En paralelo, se ha descubierto una vulnerabilidad grave en Infodraw Media Relay Service (MRS), utilizada para la retransmisión de medios en soluciones de videovigilancia móvil. Esta falla, identificada como CVE-2025-43928 y con una puntuación CVSS de 9.8, permite tanto la lectura como la eliminación de archivos arbitrarios desde la página de inicio de sesión del sistema.

¿Qué es Infodraw MRS y por qué es relevante?

Infodraw es una empresa israelí que desarrolla tecnología para transmisión de video, audio y GPS utilizada por agencias gubernamentales, fuerzas del orden y empresas de transporte. Sus productos operan sobre redes móviles y están presentes en múltiples países.

Detalles técnicos del fallo de seguridad

El investigador Tim Philipp Schäfers descubrió que es posible iniciar sesión en el sistema utilizando un nombre de usuario malicioso como "../../../../" para explotar un path traversal trivial. Esto permite a atacantes no autenticados acceder y eliminar cualquier archivo en sistemas afectados, tanto en versiones para Windows como Linux.

Aún más preocupante, no existe un parche oficial, lo que deja a los sistemas expuestos a posibles ataques inminentes. Algunas instancias comprometidas en Bélgica y Luxemburgo han sido desconectadas tras la divulgación responsable.

Recomendaciones urgentes de seguridad

Dada la criticidad del defecto, Schäfers recomienda:

• Desconectar inmediatamente los sistemas MRS vulnerables.
• Si no es viable, reforzar la seguridad mediante:
• Uso exclusivo de VPN.
• Aplicación de filtros IP para acceso controlado.
• Auditoría de accesos y archivos sensibles.

Actualizaciones críticas y configuraciones seguras

Tanto las vulnerabilidades en Rack Ruby como la falla crítica en Infodraw MRS ponen de relieve la necesidad de una gestión proactiva de seguridad en servidores web y sistemas conectados a internet. Las organizaciones deben aplicar parches, revisar configuraciones y emplear controles de acceso estrictos para proteger sus activos frente a ataques sofisticados y vulnerabilidades explotables.

Fuente: https://thehackernews.com/