Se han revelado múltiples vulnerabilidades de seguridad en los administradores de paquetes populares que, si se explotan potencialmente, podrían ser objeto de abuso para ejecutar código arbitrario y acceder a información confidencial, incluido el código fuente y los tokens de acceso, desde máquinas comprometidas.
Sin embargo, vale la pena señalar que las fallas requieren que los desarrolladores específicos manejen un paquete malicioso junto con uno de los administradores de paquetes afectados.
«Esto significa que no se puede lanzar un ataque directamente contra la máquina de un desarrollador de forma remota y requiere que se engañe al desarrollador para que cargue archivos con formato incorrecto», dijo Paul Gerste, investigador de SonarSource. dijo. «Pero, ¿siempre puede conocer y confiar en los propietarios de todos los paquetes que usa de Internet o de los repositorios internos de la empresa?»
Los administradores de paquetes se refieren a sistemas o un conjunto de herramientas que se utilizan para automatizar la instalación, actualización y configuración de dependencias de terceros necesarias para desarrollar aplicaciones.
Si bien existen riesgos de seguridad inherentes con las bibliotecas no autorizadas que se abren camino hacia los repositorios de paquetes, lo que requiere que las dependencias se analicen adecuadamente para proteger contra ataques de confusión de dependencias y errores tipográficos, el «acto de administrar dependencias generalmente no se considera una operación potencialmente riesgosa».
Pero los problemas recientemente descubiertos en varios administradores de paquetes resaltan que los atacantes podrían armarlos para engañar a las víctimas para que ejecuten código malicioso. Las fallas se han identificado en los siguientes administradores de paquetes:
- Compositor 1.x < 1.10.23 y 2.x < 2.1.9
- Empaquetador < 2.2.33
- Enramada < 1.8.13
- Poesía < 1.1.9
- Hilo < 1.22.13
- pnpm < 6.15.1
- Pip (sin arreglo), y
- Pipenv (sin arreglo)
La principal de las debilidades es una inyección de comando falla en el compositor comando de navegación que podría abusarse para lograr la ejecución de código arbitrario al insertar una URL en un paquete malicioso ya publicado.
Si el paquete aprovecha las técnicas de error tipográfico o de confusión de dependencias, podría resultar en un escenario en el que ejecutar el comando de exploración para la biblioteca podría conducir a la recuperación de una carga útil de la siguiente etapa que luego podría utilizarse para lanzar más ataques.
Adicional inyección de argumento y ruta de búsqueda no confiable Las vulnerabilidades descubiertas en Bundler, Poetry, Yarn, Composer, Pip y Pipenv significaban que un mal actor podía obtener la ejecución del código por medio de un ejecutable git con malware o un archivo controlado por un atacante, como un Gemfile que se usa para especificar las dependencias para Programas rubí.
Tras la divulgación responsable el 9 de septiembre de 2021, se publicaron correcciones para abordar los problemas en Composer, Bundler, Bower, Poetry, Yarn y Pnpm. Pero Composer, Pip y Pipenv, los tres afectados por la falla de la ruta de búsqueda no confiable, han optado por no solucionar el error.
«Los desarrolladores son un objetivo atractivo para los ciberdelincuentes porque tienen acceso a los principales activos de propiedad intelectual de una empresa: el código fuente», dijo Gerste. «Comprometerlos permite a los atacantes realizar espionaje o incrustar código malicioso en los productos de una empresa. Esto incluso podría usarse para realizar ataques a la cadena de suministro».