Ir al contenido

Boletines de seguridad de BigID

Última actualización: 19/03/2025

SAMLStorm: Vulnerabilidades críticas de omisión de autenticación

El 17 de marzo de 2025, el Equipo de Respuesta a Incidentes de Seguridad de Productos de BigID (PSIRT) fue alertado sobre dos (2) vulnerabilidades críticas conocidas como SAMLStorm. Estas vulnerabilidades afectan a la biblioteca xml-crypto de Node.js (v6.0.0 y anteriores, CVE-2025-29775 y CVE-2025-29774). Si se explotan, podrían provocar la apropiación total de cuentas, incluidas las de administrador, en las aplicaciones afectadas sin interacción del usuario. BigID utiliza estas bibliotecas para realizar validaciones de respuestas SAML. La explotación de estas vulnerabilidades depende de la configuración del proveedor de identidad (IdP) de cada inquilino de BigID. Los clientes que utilizan BigID Cloud ya han implementado un parche. Para los clientes locales, BigID recomienda encarecidamente actualizar a las versiones 222.18, 218.76, 211.74, 205.116 y 198.93. Si bien no hay una prueba de concepto pública disponible, los equipos de Producto y Seguridad en la Nube de BigID siguen supervisando y solucionando el problema, y proporcionarán las actualizaciones pertinentes.


Identificación de vulnerabilidades críticas – Orch2

El 21 de noviembre de 2024, un empleado de BigID alertó al Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) sobre el registro involuntario de secretos de aplicaciones de bóveda en los registros del servicio Orchestrator. El problema afecta únicamente a los clientes que utilizan bóvedas de AWS Secrets Manager, HashiCorp y BeyondTrust. BigID ya contactó a los clientes afectados en función de las características únicas de su implementación y les proporcionó orientación y soluciones de mitigación. Además, ya se han implementado parches para los clientes de la nube y se han publicado para que los clientes locales los descarguen. Los registros del servicio Orchestrator están disponibles en la sección Herramientas avanzadas de la plataforma o en otros sistemas de almacenamiento de registros a los que los clientes pueden reenviarlos. Los clientes que no utilizan bóvedas de AWS Secrets Manager, HashiCorp ni BeyondTrust no se ven afectados.


Ataque a sistemas UNIX mediante CUPS

El 26 de septiembre, se reveló públicamente una ruta de ataque que afectaba a los paquetes CUPS y despertó cierto interés en la comunidad de seguridad.

Después de una investigación exhaustiva de la descripción de la vulnerabilidad, queda claro que el producto BigID y la nube no están afectados.

Detalles de la investigación

BigID ha concluido que las bibliotecas cups están instaladas en la siguiente lista de servicios:

  • búsqueda de metadatos de bigid
  • bigid-corr-nuevo
  • procesador de catálogo bigid
  • linaje bigid
  • informes de bigid
  • servicio de configuración bigid
  • fragmento de ID grande persistente

De los 4 CVE registrados, CVE-2024-47175 se marcará en los servicios indicados anteriormente.

Sin embargo, según Red Hat, el proveedor de imágenes base de estos servicios:

RHCOS y RHEL incluyen libs-cups como dependencia de compilación. Sin embargo, la vulnerabilidad no se puede explotar únicamente con las bibliotecas cliente, a menos que se esté ejecutando un servidor de impresión basado en OpenPrinting. RHEL y RHCOS no tienen cups-browsed habilitado por defecto, por lo que el impacto para estos se establece en 'Bajo'.

Dado que BigID no utiliza ninguna funcionalidad relacionada con la impresora ni modifica la configuración predeterminada, esta CVE no afecta al producto BigID. Además, BigID Cloud no expone el puerto UDP afectado, lo que mitiga por completo el vector de ataque WAN descrito en el informe.


Interrupciones de Microsoft y Crowdstrike

Detalles de la vulnerabilidad

El viernes 19 de julio de 2024, se reportaron dos interrupciones no relacionadas, ambas afectando a los servicios de Microsoft. BigID tuvo un impacto mínimo en nuestros servicios y operaciones comerciales.

La primera interrupción, que afectó a Azure, se debió a un cambio de configuración en una parte de las cargas de trabajo de backend de Azure. Esto provocó una interrupción entre los recursos de almacenamiento y de cómputo, lo que provocó fallos de conectividad que afectaron a los servicios de Microsoft 365. Los servicios se están restaurando lentamente y se pueden encontrar actualizaciones en https://status.cloud.microsoft/. Como resultado de la interrupción, se interrumpió parcialmente la disponibilidad de https://docs.bigid.com/, pero ya está disponible y funcionando correctamente. Los demás servicios de BigID, los dispositivos finales y la dependencia de los socios no se vieron afectados.

La segunda interrupción se debe a que Crowdstrike muestra la pantalla azul de la muerte (BSOD) tras instalar la última actualización de su sensor Falcon. El problema se ha identificado, aislado y se ha implementado una solución para los clientes de Crowdstrike. BigID no utiliza productos de Crowdstrike en sus operaciones comerciales y, por lo tanto, no se ve afectado.

Copo de nieve

Detalles de la vulnerabilidad

El viernes 31 de mayo de 2024, investigadores de Hudson Rock informaron sobre la supuesta violación de Snowflake por parte de un hacker, que afectó a varias organizaciones. Snowflake investigó con prontitud estos informes y no encontró evidencia de ningún compromiso en su entorno. Notificaron a todos los clientes potencialmente afectados. BigID siguió las recomendaciones de Snowflake e investigó los indicadores de compromiso (IoC) proporcionados. Nuestras medidas de seguridad proactivas y los controles en torno a nuestra cuenta de Snowflake garantizaron que no nos viéramos afectados por este incidente.

Aviso de seguridad de XZ Utils

Detalles de la vulnerabilidad

El viernes 29 de marzo de 2024, investigadores de seguridad descubrieron una puerta trasera maliciosa integrada en la utilidad de compresión XZ. Esta utilidad se usa ampliamente en distribuciones de Linux, incluyendo las de Red Hat y Debian, y se está rastreando como la vulnerabilidad CVE-2024-3094. El código malicioso conocido se encontró en las versiones 5.6.0 y 5.6.1, y se ha notificado a los usuarios que actualicen a la versión 5.4.6 de inmediato. BigID ha completado su proceso de investigación de seguridad y puede confirmar que no nos vemos afectados por la vulnerabilidad CVE-2024-3094.

Aviso de seguridad de MongoDB

Detalles de la vulnerabilidad

El 16 de diciembre, MongoDB anunció públicamente un incidente de seguridad en sus sistemas corporativos, detectado el 13 de diciembre de 2023. Este incidente aún está en desarrollo para MongoDB, ya que han contratado a empresas forenses y a las fuerzas del orden para continuar la investigación. En nuestro compromiso con la transparencia y la seguridad, queremos informar que, en BigID, utilizamos MongoDB Atlas para nuestros clientes en la nube. Es importante destacar que el acceso a MongoDB Atlas se autentica mediante un sistema independiente de los sistemas corporativos de MongoDB, y no se ha encontrado evidencia de que el sistema de autenticación del clúster Atlas se haya visto comprometido. Según la información disponible, MongoDB Atlas no se ha visto afectado, ya que no se ha identificado ninguna vulnerabilidad de seguridad en ningún producto MongoDB como resultado de este incidente. Sin embargo, estamos siendo proactivos, manteniéndonos al día con su página de alertas y actualizando este boletín según las novedades proporcionadas por MongoDB.

Actualización: Aviso de seguridad de MongoDB

El 18 de diciembre, Mongo actualizó el estado de su incidente de seguridad, clasificándolo como un ataque de phishing con un alto grado de certeza. Siguen sin encontrar evidencia de acceso no autorizado a los clústeres de MongoDB Atlas ni al sistema de autenticación de clústeres Atlas. La investigación y el trabajo con las autoridades competentes continúan. MongoDB actualizará su página de alertas con la información pertinente a medida que investiguemos el asunto. MongoDB proporcionó una lista de Indicadores de Compromiso (IOC) con las IP relevantes del servicio VPN de Mullvad. BigID realizó una investigación retrospectiva y no detectó ninguna de estas IP comunicándose con el servicio BigID Cloud.

Vulnerabilidad de día cero en HTTP/2

Detalles de la vulnerabilidad

El 12 de octubre de 2023, Cloudflare, junto con Google y Amazon AWS, reveló la existencia de una nueva vulnerabilidad de día cero denominada ataque "HTTP/2 Rapid Reset". Este ataque aprovecha una debilidad del protocolo HTTP/2 para generar enormes ataques de denegación de servicio distribuido (DDoS) hipervolumétricos. BigID ha analizado nuestro entorno y, aunque utilizamos este protocolo, aprovechamos la protección contra ataques HTTP DDoS de Cloudflare, por lo que BigID no se ve afectado.

Violación del sistema de gestión de atención al cliente de Okta

Detalles de la vulnerabilidad

En octubre de 2023, Okta reportó una brecha de seguridad en su sistema de gestión de atención al cliente, donde un hacker descargó una pequeña parte de la información de sus clientes. A finales de noviembre, Okta confirmó que la información de contacto de todos sus clientes se vio comprometida. Si bien BigID utiliza Okta para los servicios de identidad, también utilizamos la autenticación multifactor para nuestros sistemas críticos. Como resultado, ningún entorno ni dato de los clientes se vio afectado por esta brecha.

Vulnerabilidad de día cero de Confluence (CVE-2023-22515)

Detalles de la vulnerabilidad

El 4 de octubre de 2023, Atlassian anunció una vulnerabilidad de seguridad en su software Confluence Data Center y Server. BigID utiliza Confluence internamente para la colaboración y la gestión del conocimiento; sin embargo, utilizamos Confluence Cloud alojado en Atlassian, que no se ve afectado por esta vulnerabilidad.

Vulnerabilidad de importación en el medio de Datadog

Detalles de la vulnerabilidad

El 6 de agosto de 2023, nos informaron sobre una vulnerabilidad reciente descubierta en DataDog, un servicio que muchas empresas, incluida la nuestra, utilizan para la monitorización. Nos tomamos muy en serio este tipo de anuncios, ya que pueden afectar nuestro servicio, así como la seguridad y privacidad de sus datos.

En respuesta a esto, nuestro equipo de seguridad ha estado trabajando diligentemente para evaluar nuestros sistemas. Nos complace informar que una revisión exhaustiva de todo nuestro código base no reveló indicios de vulnerabilidades que lo harían susceptible a estas vulnerabilidades. Por lo tanto, confiamos en que el uso de DataDog no representa una amenaza para la seguridad de nuestro servicio ni de sus datos. Sin embargo, en nuestro compromiso con la transparencia y la seguridad, queremos informarle que estamos ejecutando versiones de dd-trace que sí contienen las vulnerabilidades. Estas, en circunstancias normales, podrían representar riesgos, pero no hemos detectado ningún uso inseguro en nuestros repositorios.

Como medida adicional, estamos enviando esta información a todos nuestros equipos de desarrollo para asegurarnos de que estén plenamente al tanto de la situación y tomen las medidas necesarias para actualizar a versiones que no contengan las vulnerabilidades mencionadas. Seguiremos monitoreando de cerca la situación y tomaremos todas las medidas necesarias para mantener el máximo nivel de seguridad de los datos.

Vulnerabilidad crítica de transferencia de MOVEit (CVE-2023-34362)

Detalles de la vulnerabilidad

El 1 de junio, Progress Software anunció una vulnerabilidad de seguridad en su software MOVEit Transfer, utilizado para transferir archivos de forma segura. Este problema permite que personas no autorizadas accedan a la base de datos del software y modifiquen la información almacenada. Afortunadamente, BigID no utiliza el software MOVEit, por lo que no nos vemos afectados directamente. Sin embargo, estamos siendo proactivos contactando a nuestros proveedores para comprobar si utilizan el software y si podría afectarnos indirectamente. Hasta la fecha, ninguno de nuestros proveedores críticos ha reportado problemas que puedan afectar a BigID ni a nuestros clientes.

Liderazgo en el sector