Múltiples fallas de seguridad descubiertas en administradores de paquetes de software populares

Se han revelado múltiples vulnerabilidades de seguridad en administradores de paquetes populares que, si se explotan potencialmente, podrían ser abusadas para ejecutar código arbitrario y acceder a información confidencial, incluido el código fuente y los tokens de acceso, desde máquinas comprometidas.

Sin embargo, vale la pena señalar que las fallas requieren que los desarrolladores objetivo manejen un paquete malicioso junto con uno de los administradores de paquetes afectados.

“Esto significa que un ataque no se puede lanzar directamente contra una máquina desarrolladora desde forma remota y requiere que el desarrollador sea engañado para que cargue archivos mal formados”, dijo el investigador de SonarSource Paul Gerste. “¿Pero siempre puede conocer y confiar en los propietarios de todos los paquetes que utiliza desde Internet o los repositorios internos de la empresa?”

Los administradores de paquetes se refieren a sistemas o un conjunto de herramientas que se utilizan para automatizar la instalación, actualización y configuración de dependencias de terceros necesarias para desarrollar aplicaciones.

Si bien existen riesgos de seguridad inherentes con las bibliotecas no autorizadas que se dirigen a los repositorios de paquetes, lo que requiere que las dependencias se examinen adecuadamente para protegerse contra los ataques de error tipográfico y confusión de dependencias, el “acto de administrar dependencias generalmente no se ve como una operación potencialmente riesgosa”.

Pero los problemas recién descubiertos en varios administradores de paquetes resaltan que podrían ser armados por atacantes para engañar a las víctimas para que ejecuten código malicioso. Las fallas se han identificado en los siguientes administradores de paquetes:

Composer 1.x < 1.10.23 y 2.x < 2.1.9
Bundler < 2.2.33
Bower < 1.8.13
Poesía < 1.1.9
Hilados < 1.22.13
pnpm < 15.06.1
Pip (sin solución), y
Pipenv (sin solución)

La principal de las debilidades es una falla de inyección de comandos en el comando browse de Composer que podría ser abusada para lograr la ejecución de código arbitrario insertando una URL en un paquete malicioso ya publicado.

Si el paquete aprovecha las técnicas de typosquatting o confusión de dependencias, podría dar lugar a un escenario en el que la ejecución del comando browse para la biblioteca podría conducir a la recuperación de una carga útil de la siguiente etapa que luego podría utilizarse para lanzar más ataques.

La inyección de argumentos adicionales y las vulnerabilidades de ruta de búsqueda no confiables descubiertas en Bundler, Poetry, Yarn, Composer, Pip y Pipenv significaron que un mal actor podría obtener la ejecución de código mediante un ejecutable git con malware o un archivo controlado por un atacante, como un Gemfile que se usa para especificar las dependencias de los programas Ruby.

Tras la divulgación responsable el 9 de septiembre de 2021, se han publicado correcciones para abordar los problemas en Composer, Bundler, Bower, Poetry, Yarn y Pnpm. Pero Composer, Pip y Pipenv, los tres afectados por la falla de la ruta de búsqueda no confiable, han optado por no abordar el error.

“Los desarrolladores son un objetivo atractivo para los ciberdelincuentes porque tienen acceso a los activos centrales de propiedad intelectual de una empresa: el código fuente”, dijo Gerste. Comprometerlos permite a los atacantes realizar espionaje o incrustar código malicioso en los productos de una empresa. Esto incluso podría usarse para llevar a cabo ataques a la cadena de suministro”.

Fuente: Thehackernews.com

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies