EuroFach Electrónica - EF484

INVESTIGACIÓN 42 Existen vulnerabilidades: debidas a fallos de losmecanismos SSO (Single-Sign-On) que unificanmúltiples autenticaciones; debidas a una identificación defectuosa de identidades en AIM y SSO; debidas al uso de requisitos débiles para con- traseñas; debidas a la existencia de mecanismos deficientes de recupera- ción de contraseñas para contraseñas olvidadas; debidas a un insuficiente valor para la expiración de sesión (o dejar la sesión siempre abierta); debi- das a una autenticación deficiente con inadecuadas restricciones de excesivos intentos de autenticación, que permi- ten acceso no autorizado a datos de proceso o subproceso; debidas a fallos- deficiencias-infección en la cadena de suministro cibernética (suministro de productos y servicios de ciber-protec- ción, véase el documento NISTIR-8276); debidas a defectuosas configuraciones; debidas a debilidades y deficiencias en el cifrado de los protocolos de mensa- jería instantánea Telegramy Whatsapp; debidas a un comportamiento anómalo de containers (incluyen recursos como CPU, memoria, peticiones, uso rendi- miento, etc.); que permiten el escalado de privilegios no autorizado (llamadas de sistema no permitidas); debidas a fallos críticos en estaciones de carga eléctrica de vehículos EVlink; debidas a errores de interfaz en general y de interfaz de usuario en particular (en: GUI (Graphical User Interface), CLI (Command Line Interface), TUI (Text- based User Interface), API (Application Programming Interface), TMUI (Traffic Management User Interface), inter- faces a través de voz (tipo Alexa, Siri, etc.); debidas a fallos y debilidades en elementos criptográficos (algoritmos defectuosos y/o gestión deficiente de claves criptográficas); debidas a errores de handler; que permiten crear ficheros de forma no autorizada; que posibili- tan fugas de información; debidas a un firmware defectuoso en cámaras IP; debidas al elevado número de APIs, plug-ins y APPs poco seguras; debidas al uso de componentes con deficien- cias conocidas; debidas a fallos en los mecanismos de verificación biométricos incluso mutimodales; debidas a fallos en cifradores, funciones hash, PRNG, firma digital, ZK, OT, etc.; debidas a la calidad deficiente del código (software/ firmware); debidas a errores-fallos de gestión de memoria (que conducen a buffer-overflows), format strings, etc.; debidas a una insuficiente validación de entradas; debidas a una deficiente gestión de credenciales; debidas a defi- ciencias que facilitan el abuso de APIs; debidas a una deficiente gestión de errores; debidas a fallos en la validación y estructura; debidas a fallos a la hora de manipular elementos especiales comunes; debidas a errores de canal y path; debidas a errores de equivalen- cia y de pathname traversal; debidas a debilidades en procesos de autenti- cación mono y multifactor; debidas a errores de gestión de recursos; debidas a una insuficiente verificación de datos; debidas a una deficiente evaluación del código, inyección, aleatoriedad y pre- dictibilidad; debidas a una deficiente configuración de ciberseguridad; debi- das a errores numéricos, defectos en el tiempo, estado, etc.; debidas amantener siempre activo (‘always-on’) protocolos de comunicaciones como Bluetooth, WiFi; debidas a utilizar contraseñas de pequeña longitud, baja entropía y que aparecen en el diccionario; debidas a eliminar el mecanismo de límite de reintentos o aumentar el número de reintentos admisible a la hora de intro- ducir contraseñas incorrectas; debidas a la existencia de routersWiFi que tengan su firmware desactualizado; debidas a conectar nuestros equipos con tarjetas dememoria periféricas, pendrives, DVDs, CDROMs, etc. infectados (un dispositivo USB infectados con malware tipo APT Stuxnet se utilizó para sabotear PLCs asociados a centrifugadoras de enrique- cimiento de Uranio de Irán); debidas a la existencia de protocolos inseguros o con deficiencias como SNMPv1, SMBv1, GSM, NTP, etc.; debidas a la existencia de aplicaciones/APPs y sus APIs mal diseñadas, mal implementadas, con configuraciones de red defectuosas; por ejecutar ciertos códigos Shell; debi- das a no verificar adecuadamente las entradas y los contenidos; debidas a no comprobar adecuadamente la auten- ticidad e integridad de mensajes que recibeun vehículo conectado-autónomo comomensajes V2X (vehículo-vehículo y vehículo-infraestructura) CAM, DENM, etc.; debidas a permitir la compartición no intencionada de datos de vehícu- los conectados-autónomos (errores de administrador, datos almacenados en servidores de garajes, etc.); debidas a la existencia de fuentes y procesos de verificación contaminados ymodificados maliciosamente, debido a no actualizar debidamente nuestros servidores; debi- das a no controlar qué puertos están abiertos en nuestro firewall; debidas a deficientes procesos de microseg- mentación que violan los controles de red; debidas a deficiencias en los controles de acceso; debidas a fallos en la programación (con todo tipo de lenguajes: Python, JavaScript, PHP, Ruby, C++, Perl, Java, VB, etc.); debidas a fallos en los sistemas operativos (como Android, iOS, Windows, Linux, Solaris, Unix, etc.); debidas a mecanismos defi- cientes de cifrado y de almacenamiento de claves criptográficas; debidas a dejar sesiones y conexiones abiertas por cual- quier causa (por estar configuradas por defecto); debidas a fallos en el control de acceso a las aplicaciones; debidas a procesos de actualizaciones y parches (vía FOTA o SOTA) que permiten accesos no autorizados en dispositivos y vehí- culos conectados/autónomos; debidas a dejar entrar o consumir datos antes de validarlos y comprobarlos; debidas a existir configuraciones deficientes, fallos en firewall, routers, módems, objetos IoT, motores autónomos de inferencia de IA, browsers, sistemas operativos, APPs, correo electrónico, etc.; debidas a descargas Torrents/P2P en las organiza- ciones; debidas a no tener en cuenta la Dark-Web; debidas a dejar sin actualizar motores, firmas y parches antimalware; debidas al robo de direcciones de correo electrónico, MAC, IP, URL, etc.; debidas al uso de ingeniería social e ingenie- ría inversa; debidas a utilizar la misma clave-contraseña débil (de baja entropía) para múltiples servicios como RRSS,