Los investigadores de seguridad cibernética han revelado dos defectos de seguridad en el repánito de Wondershare que podrían exponer datos privados de los usuarios y potencialmente exponer sistemas a la manipulación de inteligencia artificial (IA) y los riesgos de la cadena de suministro.
Las vulnerabilidades en la evaluación crítica de los problemas descubiertos por Trend Micro se enumeran a continuación –
CVE-2025-10643 (CVSS score: 9.1) – Authentication bypass vulnerability present within permissions granted to storage account CVE-2025-10644 (CVSS score: 9.4) – Authentication bypass vulnerability present within permissions granted to SAS is
La explotación exitosa de dos fallas permite al atacante evitar la protección de la autenticación del sistema, lanzar un ataque de la cadena de suministro y finalmente ejecuta código arbitrario en el punto final del cliente.
TREND Micro-Researchers Alfredo Oliveira y David Fiser dijeron que las aplicaciones de reparación de datos y edición de fotos a IA «contradecieron su política de privacidad y se filtraron inadvertidamente los datos de los usuarios personales mediante la recopilación y el almacenamiento del desarrollo, el almacenamiento y el desarrollo, la seguridad y las prácticas operativas (DevSecops)».
Las malas prácticas de desarrollo incluyen integrar un token de acceso a la nube tolerante directamente en el código de la aplicación, lo que permite que las lecturas y las escrituras se almacenan en la nube sensible. Además, se dice que los datos se almacenan sin cifrado, lo que podría abrir la puerta al mal uso de las imágenes y videos cargados de los usuarios.
Peor aún, el almacenamiento en la nube expuesto incluye no solo datos de usuario, sino también binarios de software para varios productos desarrollados por modelos de inteligencia artificial, Wondershare, imágenes de contenedores, scripts y código fuente de la compañía, lo que permite a los atacantes abrir una forma de ataques de la cadena de suministro donde modifican los modelos de IA o los ejecutables y se dirigen a los clientes aguas abajo.
«Los binarios capturan y ejecutan automáticamente modelos AI desde el almacenamiento inestable en la nube, lo que permite a los atacantes cambiar estos modelos o sus configuraciones e infectar a los usuarios sin su conocimiento», dijeron los investigadores. «Un ataque como este podría distribuir cargas útiles maliciosas a usuarios legítimos a través de actualizaciones de software o descargas de modelos de IA firmados por el proveedor».
Más allá de la exposición a los datos del cliente y la manipulación de los modelos de IA, este problema puede tener serias consecuencias, que van desde el robo de propiedad intelectual y las sanciones regulatorias hasta la erosión de la confianza del consumidor.
La compañía de ciberseguridad dijo que había revelado responsablemente dos problemas a través de la Iniciativa de Día Zero (ZDI) en abril de 2025, pero a pesar de los repetidos intentos, no dijo que aún no había recibido respuestas del proveedor. Si no hay modificaciones, se recomienda a los usuarios «limitar la interacción con el producto».
«La necesidad constante de innovación alimentará el mercado con una prisa por adquirir nuevas características y mantenerse competitivos, pero es posible que no prever las formas nuevas y desconocidas o las características futuras para usar estas características», dijo Trend Micro.
«Esto explica cómo se pueden pasar por alto los impactos de seguridad. Por eso es importante implementar fuertes procesos de seguridad en toda su organización, incluida la tubería de CD/CI».
La necesidad de estar íntimamente relacionado con la IA y la seguridad
Este desarrollo se debe a los servidores del Protocolo de Contexto del Modelo de Tendencia Micro Anteriormente expuesto (MCP) sin autenticación, o almacenar credenciales confidenciales, como las configuraciones de MCP en texto plano, lo que permite a los actores de amenaza explotarlos para obtener acceso a recursos en la nube, bases de datos o código malicioso.
Cada servidor MCP actúa como una puerta abierta a una base de datos, servicio en la nube, API interna o fuente de datos para un sistema de gestión de proyectos.
En diciembre de 2024, la compañía también descubrió que podría abusar del registro de contenedores expuestos para obtener un acceso no autorizado, obtener imágenes de Docker objetivo para extraer modelos de IA dentro de los modelos de IA, modificar los parámetros del modelo para influir en las predicciones y empujar las imágenes apretadas en el registro expuesto.
«Un modelo manipulado puede funcionar correctamente en condiciones normales y solo puede mostrar cambios maliciosos si se activan por una entrada particular», dijo Trend Micro. «Esto hace que los ataques sean particularmente peligrosos, ya que permiten que las pruebas básicas y las verificaciones de seguridad se omitan».
Kaspersky resalta el riesgo de la cadena de suministro que plantea los servidores MCP, ideando una exploit de prueba de concepto (POC) para resaltar cómo los servidores MCP instalados en fuentes poco confiables pueden ocultar actividades de reconocimiento y eliminación de datos en la prisión de herramientas de productividad basadas en IA.
«Cuando instala un servidor MCP, esencialmente obtiene permiso para ejecutar código en una máquina de usuario utilizando privilegios de usuario», dijo el investigador de seguridad Mohamed Ghobashy. «A menos que haya un código Sandbox, de terceros, como cualquier otro programa, puede leer los mismos archivos a los que el usuario está accediendo y accediendo a llamadas de red de salida».
Los resultados muestran que al adoptar rápidamente las herramientas de MCP y AI en la configuración empresarial para permitir la funcionalidad del agente, particularmente sin políticas claras o barandillas de seguridad, se pueden abrir nuevos vectores de ataque, como adicción a las herramientas, extracción de retraso, sombreado, inyección rápida y escalada de privilegios fraudulentos.
En un informe publicado la semana pasada, la Unidad 42 de Palo Alto Networks reveló que la característica de adjunto de contexto utilizada por los asistentes de código de IA para cerrar las brechas de conocimiento en los modelos de IA es sensible a la inyección rápida indirecta.
La inyección rápida indirecta depende de la incapacidad de distinguir entre las instrucciones emitidas por el usuario de las emitidas por el Asistente y los que el atacante incrusta en secreto en una fuente de datos externa.
Entonces, si el usuario proporciona inadvertidamente datos de terceros (como archivos, repositorio o URL) de asistentes de codificación que ya han sido contaminados por un atacante, el aviso malicioso oculto puede engañar a la herramienta para ejecutar una puerta trasera e inyectar un código arbitrario en una base de código existente e incluso armarlo con efectos sensibles con filtración.
«Agregue este contexto a la solicitud le permite al asistente de código proporcionar una producción más precisa y específica», dijo Osher Jacob, investigador de la Unidad 42. «Sin embargo, esta característica también podría crear una oportunidad para un ataque de inyección indirecto y rápido si el usuario proporciona involuntariamente una fuente contextual contaminada por parte del actor de amenazas».
Se ha encontrado que los agentes de codificación de IA son vulnerables a lo que se llama «mentiras para hacer ataques» (litl), cuyo objetivo es convencerlos de que las instrucciones proporcionadas a LLM son realmente mucho más seguras y que anulan efectivamente las defensas humanas (HITL) configuradas cuando realizan operaciones de alto riesgo.
«Litl abusa de la confianza entre humanos y agentes», dijo Ori Ron, investigador de Checkmarx. «Después de todo, los humanos solo pueden responder a lo que los agentes los solicitan y lo que los agentes los solicitan. El usuario se infiere del contexto que se les da los agentes. Es fácil mentirle a un agente.
«Y el agente está dispuesto a mentirle al usuario, oscureciendo el comportamiento malicioso que provoca proteger, y esencialmente hace del agente un cómplice al entregar las claves al reino».
Source link
