Redazione RHC : 21 julio 2025 08:45
El jueves 16 de julio fue un día importante para los investigadores de ciberseguridad del equipo italiano Red Team Research (RTR) de TIM, que publicó cinco nuevas vulnerabilidades (CVE) descubiertas en el proyecto Eclipse GlassFish, una de las cuales recibió una calificación de 9.8.
El Red Team Research de TIM es un grupo de investigación activo desde 2019, especializado en la búsqueda de errores, y ha publicado más de 170 CVE. El equipo opera en total conformidad con los principios de la Divulgación Coordinada de Vulnerabilidades (CVD): una práctica ética que exige la notificación confidencial de vulnerabilidades a los proveedores, lo que les permite desarrollar y publicar parches correctivos antes de su publicación oficial.
Una vez disponible el parche, con el consentimiento del proveedor, el Equipo Rojo de Investigación publica las vulnerabilidades en la Base de Datos Nacional de Vulnerabilidades (NVD) de Estados Unidos, o por el propio proveedor si está certificado como CNA (Autoridad de Numeración CVE).
Eclipse GlassFish es un proyecto de código abierto utilizado para el desarrollo e implementación de aplicaciones Java EE (ahora Jakarta EE) de nivel empresarial. Originalmente desarrollado por Oracle, se conocía como Oracle GlassFish hasta 2017, cuando Oracle donó el código fuente a la Fundación Eclipse. Desde entonces, la Fundación Eclipse se ha hecho cargo del proyecto GlassFish y actualmente cuenta con el apoyo de organizaciones como Payara, Fujitsu y OmniFish.
La migración representó un enorme desafío legal y de ingeniería, con la transferencia de más de 5,5 millones de líneas de código y más de 61 000 archivos de Oracle a la Fundación Eclipse. El código, históricamente confidencial y propietario, se hizo público, lo que lo hizo accesible y reveló las pruebas realizadas. Como se indicó en un comunicado de prensa en aquel momento, la migración comenzó con EclipseLink y Yasson, quienes ya trabajaban en la Fundación Eclipse. Los primeros proyectos migrados desde Oracle GitHub fueron JSONP, JMS, WebSocket y OpenMQ, que se completaron en enero de 2018. Los repositorios GlassFish y CTS/TCK se migraron en septiembre de 2018.
A continuación, se muestra la lista de CVE emitidas:
| CVE | CVSSv3 | Tipología |
| CVE-2024-9342 | 9.8 | CWE-307: Restricción incorrecta de intentos excesivos de autenticación |
| CVE-2024-10029 | 6.1 | CWE-79: Neutralización incorrecta de la entrada durante la generación de páginas web (‘Cross-site Scripting’) |
| CVE-2024-10032 | 5.4 | CWE-79: Neutralización incorrecta de la entrada durante la generación de páginas web (‘Cross-site Scripting’) |
| CVE-2024-9343 | 6.1 | CWE-79: Neutralización incorrecta de la entrada durante la generación de páginas web (‘Cross-site Scripting’) |
| CVE-2024-10031 | 5.4 | CWE-79: Neutralización incorrecta de la entrada durante la generación de páginas web (‘Cross-site Scripting’) |
En detalle, la vulnerabilidad identificada y clasificada con el código <a href=»https://nvd.nist.gov/vuln/detail/CVE-2024-9342 se detectó en la versión 7.0.16 (y anteriores) del producto Eclipse GlassFish. Calificación de 9.8 Crítico en la escala CVSSv3 (1 a 10).
En concreto, se pudieron realizar ataques de Fuerza Bruta de Inicio de Sesión en dos URL específicas del producto. Esta vulnerabilidad se produce cuando el producto no implementa las medidas suficientes para evitar múltiples intentos fallidos de autenticación en un corto periodo de tiempo, lo que lo hace más susceptible a ataques de fuerza bruta. La gravedad de este tipo de ataque radica en que no requiere requisitos previos. Por lo tanto, es particularmente peligroso si la instancia de GlassFish está expuesta a Internet.
El impacto detectado por el análisis de Red Team Research es que un atacante puede explotar esta vulnerabilidad para obtener acceso con privilegios administrativos a la consola de administración o a la interfaz REST de gestión del servidor.
Este es uno de los pocos centros italianos de investigación de seguridad donde, desde hace tiempo, se llevan a cabo actividades destinadas a identificar vulnerabilidades no documentadas. (0día). Las actividades del equipo dieron lugar a la posterior emisión de CVE en la Base de Datos Nacional de Vulnerabilidades (NVD) de Estados Unidos, tras completar el proceso de Divulgación Coordinada de Vulnerabilidades (CVD) con el proveedor del producto.
A lo largo de 5 años de actividad, hemos visto al laboratorio emitir numerosos CVE sobre productos de primera clase y grandes proveedores internacionales, como Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, QNAP, Johnson & Control, Schneider Electric, así como otros proveedores en diferentes tipos de arquitecturas de software/hardware.
A lo largo del tiempo, el laboratorio ha emitido aproximadamente 170 CVE, de los cuales 14 tienen una gravedad crítica (puntuación CVSSv3 de 9.0).
En relación con una vulnerabilidad descubierta por el grupo de investigación en el producto de servicios web Metasys Reporting Engine (MRE) del proveedor Johnson & Control, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de los Estados Unidos de América, ha emitido un boletín de seguridad específico para informar a los sectores: “SECTORES DE INFRAESTRUCTURA CRÍTICA, PAÍSES/ÁREAS DESPLIEGADO y UBICACIÓN DE LA SEDE DE LA EMPRESA.
Este grupo de investigación, íntegramente italiano, emite constantemente CVE y contribuye activamente a la investigación de vulnerabilidades no documentadas a nivel internacional. Red TIM Research se distingue en Italia por la alta calidad de sus actividades, además de contribuir a mejorar los niveles de seguridad de los productos utilizados por organizaciones internacionales.
RedazioneEn el artículo anterior sobre Gestión de Parches, comenzamos a hablar de 4 pilares fundamentales en el mundo de la Ciberseguridad. Estos cuatro pilares son la Gestión de Parches, el End...
«En el bosque oscuro del mundo digital» (como diría hoy Dante Alighieri), la ciberseguridad se ha convertido en una prioridad absoluta para empresas de todos los tamaños. Los ataqu...
Se ha descubierto una falla de seguridad crítica relacionada con la corrupción de memoria en el popular archivador 7-Zip. Esta vulnerabilidad puede ser explotada por atacantes para causar co...
Los ataques de canal lateral representan una categoría sofisticada de ciberamenazas que se centran en las debilidades de los sistemas de seguridad. Estos ataques se diferencian de las técnic...
El uso cada vez más extendido de las tecnologías digitales ha abierto nuevas oportunidades para los ciberdelincuentes que operan en línea, dando lugar a un verdadero ecosistema de ciber...
Para más información: [email protected]
