Un
equipo de ciberseguridad con asistencia de IA descubrió 12 vulnerabilidades
de OpenSSL y 5 CVE en Curl y afirma que la presencia humana es el factor limitante; algunas
vulnerabilidades existen desde hace décadas.
OpenSSL es un estándar de seguridad que protege la mayor parte de internet, y
los investigadores de ciberseguridad han descubierto recientemente
vulnerabilidades en el estándar que han permanecido ocultas durante décadas.
El equipo de ciberseguridad de
AISLE informó que encontró 12 CVE
en el código base de OpenSSL y ha publicado correcciones para cada una de
ellas.
Todas estas vulnerabilidades se descubrieron únicamente con la ayuda de
herramientas de seguridad basadas en IA.
AISLE informó que tres de las 12 vulnerabilidades se remontan a
1998. Uno de ellos (CVE-2026-22796) es anterior al propio OpenSSL y fue heredado de
SSLeay, la implementación original de SSL de Eric Young de la década de 1990. Sin
embargo, permaneció oculto tras el intenso escrutinio humano y de máquinas
durante el cuarto de siglo. Existen errores desde OpenSSL las
versiones 0.9.6 a 3.6.x.
Diferente es el panorama en curl. En julio de 2025, Daniel Stenberg,
creador y principal mantenedor de la herramienta, escribió
«Muerte por mil errores», un relato de frustración sobre la «basura generada por IA» que inundaba el
programa de recompensas de curl. Este enero, Stenberg anunció
«El fin del programa de recompensas», que llevaba funcionando desde 2019, «por la avalancha de envíos de IA de baja
calidad».
De todos modos, AISLE dice que también informó hallazgos que se convirtieron
en 5 CVE genuinos en curl:
Mientras se desarrollaba la historia anterior, en AISLE (que opera en
HackerOne) informaron los 12 CVE que incluyen variantes de gravedad alta, moderada y baja. La primera se considera de gravedad alta, mientras que la segunda se
considera moderada.
Todos los CVE de gravedad alta y moderada
-
CVE-2025-15467: Desbordamiento del búfer de pila en el análisis de
datos de autenticación de CMS (alta). Una vulnerabilidad que podría permitir
la ejecución remota de código en condiciones específicas. -
CVE-2025-11187: Validación de parámetros PBMAC1 en PKCS#12
(moderada). Falta de validación que podría desencadenar un desbordamiento
del búfer basado en pila.
CVE de gravedad baja
- CVE-2025-15468: Fallo en la gestión del cifrado del protocolo QUIC.
-
CVE-2025-15469: Error de truncamiento silencioso que afecta a los algoritmos
de firma postcuántica (ML-DSA). -
CVE-2025-66199: Agotamiento de memoria mediante la compresión de
certificados TLS 1.3. -
CVE-2025-68160: Corrupción de memoria en el búfer de línea (afecta el código
a OpenSSL). 1.0.2) -
CVE-2025-69418: Fallo de cifrado en modo OCB en rutas aceleradas por
hardware -
CVE-2025-69419: Corrupción de memoria en la codificación de caracteres
PKCS#12 - CVE-2025-69420: Fallo en la verificación de la respuesta de marca de tiempo
- CVE-2025-69421: Fallo en el descifrado de PKCS#12
- CVE-2026-22795: Fallo en el análisis de PKCS#12
-
CVE-2026-22796: Fallo en la verificación de firma de PKCS#7 (afecta al
código hasta OpenSSL 1.0.2)
El resto se consideran CVE de baja gravedad e incluyen comportamientos de
OpenSSL que van desde agotamiento de la memoria, corrupción de memoria, fallos
de cifrado y fallos directos.
OpenSSL
-
15 CVE descubiertos por el sistema de IA de AISLE entre finales de 2025 y
principios de 2026 (13 CVE-2025-* y 2 CVE-2026-*) - 12 CVE en una versión reciente
- 4 vulnerabilidades adicionales detectadas antes de su lanzamiento
- Parches aportados y aceptados en versiones oficiales
curl
- 5 CVE descubiertos y parcheados con la IA de AISLE
- 3 de 6 CVE en la versión curl 8.18.0
El conjunto de herramientas de IA de la empresa de ciberseguridad incluye
detección contextual que puede comprender el contexto del código que revisa. A
continuación, sigue una serie de pasos para identificar amenazas, incluyendo
la priorización de elementos para reducir los falsos positivos.
La seguridad asistida por IA se está adoptando rápidamente en el sector de la
seguridad para aumentar la eficacia de los sistemas de seguridad en general, y
especialmente para aumentar la eficacia de los sistemas y las empresas de
seguridad contra la avalancha de ataques criminales asistidos por IA que
azotan nuestro mundo. Por ejemplo, investigadores de IA crearon hace unos años
un sistema de seguridad basado en IA capaz de
predecir el comportamiento delictivo con una precisión del 82,8%.
Fuente:
LeesWrong