Se han revelado m\u00faltiples vulnerabilidades de seguridad en los administradores de paquetes populares que, si se explotan potencialmente, podr\u00edan ser objeto de abuso para ejecutar c\u00f3digo arbitrario y acceder a informaci\u00f3n confidencial, incluido el c\u00f3digo fuente y los tokens de acceso, desde m\u00e1quinas comprometidas.<\/p>\n
Sin embargo, vale la pena se\u00f1alar que las fallas requieren que los desarrolladores espec\u00edficos manejen un paquete malicioso junto con uno de los administradores de paquetes afectados.<\/p>\n
“Esto significa que no se puede lanzar un ataque directamente contra la m\u00e1quina de un desarrollador de forma remota y requiere que se enga\u00f1e al desarrollador para que cargue archivos con formato incorrecto”, dijo Paul Gerste, investigador de SonarSource. dijo<\/a>. “Pero, \u00bfsiempre puede conocer y confiar en los propietarios de todos los paquetes que usa de Internet o de los repositorios internos de la empresa?”<\/p>\n Los administradores de paquetes se refieren a sistemas<\/a> o un conjunto de herramientas que se utilizan para automatizar la instalaci\u00f3n, actualizaci\u00f3n y configuraci\u00f3n de dependencias de terceros necesarias para desarrollar aplicaciones.<\/p>\n Si bien existen riesgos de seguridad inherentes con las bibliotecas no autorizadas que se abren camino hacia los repositorios de paquetes, lo que requiere que las dependencias se analicen adecuadamente para proteger contra ataques de confusi\u00f3n de dependencias y errores tipogr\u00e1ficos, el “acto de administrar dependencias generalmente no se considera una operaci\u00f3n potencialmente riesgosa”.<\/p>\n Pero los problemas recientemente descubiertos en varios administradores de paquetes resaltan que los atacantes podr\u00edan armarlos para enga\u00f1ar a las v\u00edctimas para que ejecuten c\u00f3digo malicioso. Las fallas se han identificado en los siguientes administradores de paquetes:<\/p>\n La principal de las debilidades es una inyecci\u00f3n de comando<\/a> falla en el compositor comando de navegaci\u00f3n<\/a> que podr\u00eda abusarse para lograr la ejecuci\u00f3n de c\u00f3digo arbitrario al insertar una URL en un paquete malicioso ya publicado.<\/p>\n Si el paquete aprovecha las t\u00e9cnicas de error tipogr\u00e1fico o de confusi\u00f3n de dependencias, podr\u00eda resultar en un escenario en el que ejecutar el comando de exploraci\u00f3n para la biblioteca podr\u00eda conducir a la recuperaci\u00f3n de una carga \u00fatil de la siguiente etapa que luego podr\u00eda utilizarse para lanzar m\u00e1s ataques.<\/p>\n Adicional inyecci\u00f3n de argumento<\/a> y ruta de b\u00fasqueda no confiable<\/a> Las vulnerabilidades descubiertas en Bundler, Poetry, Yarn, Composer, Pip y Pipenv significaban que un mal actor pod\u00eda obtener la ejecuci\u00f3n del c\u00f3digo por medio de un ejecutable git con malware o un archivo controlado por un atacante, como un Gemfile que se usa para especificar las dependencias para Programas rub\u00ed.<\/p>\n Tras la divulgaci\u00f3n responsable el 9 de septiembre de 2021, se publicaron correcciones para abordar los problemas en Composer, Bundler, Bower, Poetry, Yarn y Pnpm. Pero Composer, Pip y Pipenv, los tres afectados por la falla de la ruta de b\u00fasqueda no confiable, han optado por no solucionar el error.<\/p>\n “Los desarrolladores son un objetivo atractivo para los ciberdelincuentes porque tienen acceso a los principales activos de propiedad intelectual de una empresa: el c\u00f3digo fuente”, dijo Gerste. “Comprometerlos permite a los atacantes realizar espionaje o incrustar c\u00f3digo malicioso en los productos de una empresa. Esto incluso podr\u00eda usarse para realizar ataques a la cadena de suministro”.<\/p>\n <\/p>\n<\/div>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Clave-maestra-para-Hive-Ransomware-recuperada-usando-una-falla-en.png\")
<\/a><\/div>\n\n
![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1646327406_168_Parches-criticos-emitidos-para-los-productos-Cisco-Expressway-Series-TelePresence.jpeg\")
<\/a><\/div>\n