Los encargados del mantenimiento del administrador de paquetes RubyGems han abordado una falla de seguridad crítica que podría haberse abusado para eliminar gemas y reemplazarlas con versiones no autorizadas en circunstancias específicas.
“Debido a un error en la acción de tirar, era posible que cualquier usuario de RubyGems.org eliminara y reemplazara ciertas gemas incluso si ese usuario no estaba autorizado para hacerlo”, RubyGems dicho en un aviso de seguridad publicado el 6 de mayo de 2022.
RubyGems, como npm para JavaScript y pip para Python, es un gerente de empaquetación y un servicio de alojamiento de gemas para el lenguaje de programación Ruby, que ofrece un repositorio de más de 171 500 bibliotecas.
En pocas palabras, la falla en cuestión, rastreada como CVE-2022-29176, permitía a cualquiera extraer ciertas gemas y cargar diferentes archivos con el mismo nombre, el mismo número de versión y diferentes plataformas.
Sin embargo, para que esto suceda, una gema debía tener uno o más guiones en su nombre, donde la palabra antes del guión era el nombre de una gema controlada por el atacante, y que se creó dentro de los 30 días o no tuvo actualizaciones durante más de 100. dias.
“Por ejemplo, el propietario de la gema ‘algo’ podría haberse apoderado de la gema ‘algo'”, explicaron los propietarios del proyecto.
Los mantenedores del proyecto dijeron que no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, y agregaron que no recibieron ningún correo electrónico de soporte de los propietarios de gemas alertándolos sobre la eliminación de las bibliotecas sin autorización.
“Una auditoría de los cambios de gemas durante los últimos 18 meses no encontró ningún ejemplo de que esta vulnerabilidad se use de manera maliciosa”, dijeron los mantenedores. “Se está llevando a cabo una auditoría más profunda para cualquier posible uso de este exploit”.
La divulgación se produce cuando NPM abordó varias fallas en su plataforma que podrían haberse convertido en armas para facilitar los ataques de apropiación de cuentas y publicar paquetes maliciosos.
La principal de ellas es una amenaza en la cadena de suministro llamada plantación de paquetes que permite a los actores maliciosos hacer pasar bibliotecas no autorizadas como legítimas simplemente asignándolas a mantenedores populares y confiables sin su conocimiento.
About the Author
