Una vulnerabilidad crítica en Strewlit, el popular marco de código abierto para la creación de aplicaciones de datos, permite a los atacantes realizar ataques de adquisición de cuentas en la nube.
El defecto, descubierto en febrero de 2025, explota las debilidades en el componente St.File_uploader de Streamlit para evitar restricciones de tipo de archivo y obtener acceso no autorizado a instancias en la nube que ejecutan aplicaciones de Streamlit.
La vulnerabilidad demuestra cómo los componentes aparentemente menores pueden crear riesgos de seguridad significativos, particularmente cuando se implementan en entornos en la nube mal configurados.
Control de llave
1. Errores de racionalización severa que habilita las adquisiciones de la cuenta en la nube y la manipulación de datos financieros.
2. Los atacantes podrían cargar archivos maliciosos y obtener acceso no autorizado.
3. Streamlit parcheó el problema.
Vulnerabilidad a paso a luz: ataques de adquisición de cuentas
La vulnerabilidad se origina en la aplicación de tipo de archivo inadecuado en el widget de carga de archivos de Streamlit, donde las restricciones solo se aplicaron junto al cliente a través de JavaScript sin la validación del lado del servidor.
Los investigadores de seguridad demostraron cómo los atacantes podrían usar herramientas proxy como BURP Suite para interceptar solicitudes de carga y omitir las restricciones de frontend modificando las extensiones de archivos durante el tránsito.
La cadena de ataque implica cargar archivos maliciosos disfrazados de legítimos, como cambiar el nombre de Malicious.exe para aparecer como un archivo PDF.
En su demostración de prueba de concepto, los investigadores mostraron cómo esto podría intensificarse a los ataques transversales del directorio, donde los actores de amenaza modifican los nombres de archivo cargados a ../../.ssh/authorized_keys y sobrescriben archivos de sistemas críticos con sus claves públicas SSH.
Esta técnica otorga acceso remoto sin contraseña a instancias de nube comprometidas que ejecutan aplicaciones de transmisión.
La explotación técnica sigue un enfoque sistemático: reconocimiento de instancias de transmisión de accesible públicamente, solicitar intercepción para alterar extensiones y rutas de archivos, sobrescritura de archivos autorizados_keys, establecimiento de acceso SSH, enumeración del entorno en la nube y finalmente la manipulación de la tubería de datos.
Las implicaciones para las instituciones financieras son particularmente alarmantes, ya que Streamlit se ha convertido en un marco de referencia para construir paneles de mercado, prototipos de aprendizaje automático y visualizaciones de datos financieros en tiempo real.
Investigadores de Cato Networks reveló Cómo las instancias comprometidas podrían manipular la ingestión de scripts de tuberías, valores de base de datos y código de tablero, lo que puede conducir a la manipulación del mercado no detectada.
Dichos ataques podrían desencadenar efectos en cascada en los que los sistemas comerciales automatizados respondan a señales falsas, cambios de sentimiento en los medios basados en datos manipulados y los inversores siguen tendencias fraudulentas.
Los investigadores señalaron que “los paneles del mercado de valores pueden impulsar alertas automatizadas, modelos de riesgo y decisiones de estrategia interna, lo que significa que la manipulación podría desencadenar una reacción en cadena de los ajustes de cartera”.
Streamlit reconoció la vulnerabilidad y lanzó un parche en 1.43.2, introduciendo la validación de backend para hacer cumplir las restricciones de tipo de archivo.
Cato Networks ha actualizado su plataforma SASE Cloud con capacidades mejoradas de prevención de amenazas dirigidas a intentos de derivación de carga no autorizados y detección anormal de ruta del nombre de archivo.
Se insta a las organizaciones a garantizar que las instancias en la nube que alojen las aplicaciones web implementen restricciones de red y controles de acceso adecuados.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
