Redazione RHC : 26 agosto 2025 22:15
Un ataque a los recursos internos de Intel ha demostrado que se pueden encontrar vulnerabilidades no solo en los procesadores, sino también en los sitios web de la empresa. Un investigador de seguridad descubrió cuatro maneras diferentes de obtener datos de más de 270.000 empleados de Intel: desde bases de datos de recursos humanos e información de contacto hasta información sobre proveedores y procesos de fabricación.
Todas las vulnerabilidades identificadas ya se han corregido, pero el simple hecho de que se descubrieran demuestra la fragilidad de la infraestructura interna incluso de los actores más importantes del mercado.
El primer problema se detectó en el servicio de solicitud de tarjetas de visita para empleados de Intel India. El sitio web se basaba en Angular y utilizaba la biblioteca de autenticación de Microsoft. El autor logró eludir la autorización corporativa modificando la función getAllAccounts, que devolvía una matriz vacía si no se había iniciado sesión. Tras la sustitución, los datos se cargaron sin una cuenta y las solicitudes de la API no requerían autenticación real. Como resultado, una sola llamada podía descargar casi un gigabyte de archivos JSON con información personal de empleados de todo el mundo, desde sus nombres y cargos hasta sus teléfonos y direcciones de correo electrónico. La segunda vulnerabilidad se encontraba en el portal de Gestión Jerárquica, utilizado para estructurar grupos de productos y jefes de departamento. El código contenía credenciales codificadas, con cifrado AES básico que podía eludirse fácilmente: la clave estaba presente en el lado del cliente. Además, se encontraron inicios de sesión directos de autenticación básica para servicios administrativos. Tras reemplazar la variable isAuthenticated y simular roles en las respuestas de Microsoft Graph, el sitio se abrió con todos los derechos de administrador, lo que permitía a los usuarios ver solicitudes de servicio e información del producto, incluso aquellas que aún no estaban disponibles públicamente.
El tercer sitio, «Incorporación de Productos», relacionado con el proceso de incorporación de nuevos productos al sistema Intel ARK, contenía información aún más sensible. Su código contenía múltiples conjuntos de inicios de sesión y tokens simultáneamente: desde una API para colaborar con el personal hasta el acceso a GitHub, donde se almacenaban los repositorios internos. Formalmente, algunas funciones estaban protegidas por VPN, pero al omitir el inicio de sesión y suplantar los roles necesarios, el investigador obtuvo un conjunto completo de funciones administrativas.
El cuarto punto de acceso es SEIMS, un portal para el intercambio de documentación ambiental y técnica con proveedores. En este caso, la vulnerabilidad residía en un error básico de verificación de token. El sitio aceptaba el error ortográfico «No autorizado» como un token de portador válido, lo que permitía suplantar la identidad de cualquier empleado. Al reemplazar el ID de usuario por uno arbitrario, fue posible eludir la autorización, abrir informes de productos y contratos con socios, y acceder a material confidencial.
En otoño de 2024, se envió a Intel un informe sobre todas las vulnerabilidades descubiertas. La empresa no pagó ninguna recompensa por estos descubrimientos, ya que su infraestructura web se consideraba desde hacía tiempo fuera del alcance del programa de recompensas por errores. La única respuesta fue una notificación automática de la recepción de las cartas, pero las correcciones se implementaron en un plazo de 90 días. En agosto de 2025, el especialista publicó un informe detallado, señalando que, no obstante, Intel había ampliado su política de recompensas por errores para incluir servicios y sitios web.
El caso es ilustrativo: las vulnerabilidades de hardware generan fama y cientos de miles de dólares, pero los portales web corporativos con acceso directo a enormes cantidades de datos no pueden ser menos valiosos para los atacantes.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
