Este artículo apareció originalmente en Security Magazine. Haga clic en el siguiente enlace para ver la versión completa.
El ataque APT de ASUS del mes pasado no sorprende a ningún observador de la industria consciente de la seguridad; esto pone de manifiesto una falla de larga data en muchas cadenas de suministro de Software actuales. Durante años, los atacantes se han dedicado a suplantar sitios web, robar credenciales y obtener acceso no autorizado. La inyección de código malicioso en herramientas legítimas diseñadas para proteger representa la siguiente evolución en la exposición de empresas y sus clientes a riesgos. La firma de código se estableció como un sello digital que permite a una organización verificar la identidad del editor de Software y asegurar que el código no ha sido manipulado ni modificado antes de la descarga. Sin embargo, si los certificados de firma de código no se gestionan adecuadamente, el resultado es un ataque como el reciente hackeo de ASUS (o, potencialmente, algo peor).
En el caso de ASUS, los atacantes explotaron el código, implantando y desplegando malware en una actualización que parecía legítima. Al no haber forma de discernir si los certificados firmados válidos contenían actualizaciones buenas o maliciosas, las empresas que consumían el Software y ejecutaban actualizaciones estándar se volvieron vulnerables a los ataques.
