Redazione RHC : 21 julio 2025 08:45
El jueves 16 de julio fue un día importante para los investigadores de ciberseguridad del equipo italiano Red Team Research (RTR) de TIM, que publicó cinco nuevas vulnerabilidades (CVE) descubiertas en el proyecto Eclipse GlassFish, una de las cuales recibió una calificación de 9.8.
El Red Team Research de TIM es un grupo de investigación activo desde 2019, especializado en la búsqueda de errores, y ha publicado más de 170 CVE. El equipo opera en total conformidad con los principios de la Divulgación Coordinada de Vulnerabilidades (CVD): una práctica ética que exige la notificación confidencial de vulnerabilidades a los proveedores, lo que les permite desarrollar y publicar parches correctivos antes de su publicación oficial.
Una vez disponible el parche, con el consentimiento del proveedor, el Equipo Rojo de Investigación publica las vulnerabilidades en la Base de Datos Nacional de Vulnerabilidades (NVD) de Estados Unidos, o por el propio proveedor si está certificado como CNA (Autoridad de Numeración CVE).
Eclipse GlassFish es un proyecto de código abierto utilizado para el desarrollo e implementación de aplicaciones Java EE (ahora Jakarta EE) de nivel empresarial. Originalmente desarrollado por Oracle, se conocía como Oracle GlassFish hasta 2017, cuando Oracle donó el código fuente a la Fundación Eclipse. Desde entonces, la Fundación Eclipse se ha hecho cargo del proyecto GlassFish y actualmente cuenta con el apoyo de organizaciones como Payara, Fujitsu y OmniFish.
La migración representó un enorme desafío legal y de ingeniería, con la transferencia de más de 5,5 millones de líneas de código y más de 61 000 archivos de Oracle a la Fundación Eclipse. El código, históricamente confidencial y propietario, se hizo público, lo que lo hizo accesible y reveló las pruebas realizadas. Como se indicó en un comunicado de prensa en aquel momento, la migración comenzó con EclipseLink y Yasson, quienes ya trabajaban en la Fundación Eclipse. Los primeros proyectos migrados desde Oracle GitHub fueron JSONP, JMS, WebSocket y OpenMQ, que se completaron en enero de 2018. Los repositorios GlassFish y CTS/TCK se migraron en septiembre de 2018.
A continuación, se muestra la lista de CVE emitidas:
| CVE | CVSSv3 | Tipología |
| CVE-2024-9342 | 9.8 | CWE-307: Restricción incorrecta de intentos excesivos de autenticación |
| CVE-2024-10029 | 6.1 | CWE-79: Neutralización incorrecta de la entrada durante la generación de páginas web (‘Cross-site Scripting’) |
| CVE-2024-10032 | 5.4 | CWE-79: Neutralización incorrecta de la entrada durante la generación de páginas web (‘Cross-site Scripting’) |
| CVE-2024-9343 | 6.1 | CWE-79: Neutralización incorrecta de la entrada durante la generación de páginas web (‘Cross-site Scripting’) |
| CVE-2024-10031 | 5.4 | CWE-79: Neutralización incorrecta de la entrada durante la generación de páginas web (‘Cross-site Scripting’) |
En detalle, la vulnerabilidad identificada y clasificada con el código CVE-2024-9342 se detectó en la versión 7.0.16 (y anteriores) del producto Eclipse GlassFish. Calificación de 9.8 Crítico en la escala CVSSv3 (1 a 10).
En concreto, se pudieron realizar ataques de Fuerza Bruta de Inicio de Sesión en dos URL específicas del producto. Esta vulnerabilidad se produce cuando el producto no implementa las medidas suficientes para evitar múltiples intentos fallidos de autenticación en un corto periodo de tiempo, lo que lo hace más susceptible a ataques de fuerza bruta. La gravedad de este tipo de ataque radica en que no requiere requisitos previos. Por lo tanto, es particularmente peligroso si la instancia de GlassFish está expuesta a Internet.
El impacto detectado por el análisis de Red Team Research es que un atacante puede explotar esta vulnerabilidad para obtener acceso con privilegios administrativos a la consola de administración o a la interfaz REST de gestión del servidor.
Este es uno de los pocos centros italianos de investigación de seguridad donde, desde hace tiempo, se llevan a cabo actividades destinadas a identificar vulnerabilidades no documentadas. (0día). Las actividades del equipo dieron lugar a la posterior emisión de CVE en la Base de Datos Nacional de Vulnerabilidades (NVD) de Estados Unidos, tras completar el proceso de Divulgación Coordinada de Vulnerabilidades (CVD) con el proveedor del producto.
A lo largo de 5 años de actividad, hemos visto al laboratorio emitir numerosos CVE sobre productos de primera clase y grandes proveedores internacionales, como Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, QNAP, Johnson & Control, Schneider Electric, así como otros proveedores en diferentes tipos de arquitecturas de software/hardware.
A lo largo del tiempo, el laboratorio ha emitido aproximadamente 170 CVE, de los cuales 14 tienen una gravedad crítica (puntuación CVSSv3 de 9.0).
En relación con una vulnerabilidad descubierta por el grupo de investigación en el producto de servicios web Metasys Reporting Engine (MRE) del proveedor Johnson & Control, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de los Estados Unidos de América, ha emitido un boletín de seguridad específico para informar a los sectores: “SECTORES DE INFRAESTRUCTURA CRÍTICA, PAÍSES/ÁREAS DESPLIEGADO y UBICACIÓN DE LA SEDE DE LA EMPRESA.
Este grupo de investigación, íntegramente italiano, emite constantemente CVE y contribuye activamente a la investigación de vulnerabilidades no documentadas a nivel internacional. Red TIM Research se distingue en Italia por la alta calidad de sus actividades, además de contribuir a mejorar los niveles de seguridad de los productos utilizados por organizaciones internacionales.
RedazioneEl 15 de octubre de 2025 se cumple un aniversario de excepcional importancia en la historia de la seguridad nacional italiana: cien años del nacimiento del Servicio de Información Militar (SIM) , el...
Este año, OpenAI anunció una serie de proyectos con gobiernos extranjeros para crear sistemas de IA soberanos. Según la compañía, algunos de estos acuerdos se están negociando actualmente con la...
Un nuevo e inusual método de jailbreak , el arte de sortear las limitaciones impuestas a la inteligencia artificial, ha llegado a nuestra redacción. Fue desarrollado por el investigador de seguridad...
El otro día, en LinkedIn, me encontré conversando con alguien muy interesado en el tema de la inteligencia artificial aplicada al derecho. No fue una de esas conversaciones de bar con palabras de mo...
En su última actualización, el gigante tecnológico corrigió 175 vulnerabilidades que afectaban a sus productos principales y sistemas subyacentes, incluyendo dos vulnerabilidades de día cero expl...
