Canal de Telegram

13 mar 2022

Segu-Info » , » Múltiples vulnerabilidades en administradores de paquetes (Composer, Bundler, Pip, etc.)

Múltiples vulnerabilidades en administradores de paquetes (Composer, Bundler, Pip, etc.)

13 mar 2022, 11:20:00 a.m.   Comenta primero!
  ,  

Se han revelado múltiples vulnerabilidades de seguridad en administradores de paquetes muy populares que, si se explotan potencialmente, podrían ser objeto de abuso para ejecutar código arbitrario y acceder a información confidencial, incluido el código fuente y los tokens de acceso, desde los sistemas comprometidos.

Los administradores de paquetes se refieren a sistemas o un conjunto de herramientas que se utilizan para automatizar la instalación, actualización y configuración de dependencias de terceros necesarias para desarrollar aplicaciones.

Sin embargo, vale la pena señalar que las fallas requieren que los desarrolladores utilicen un paquete malicioso específico junto con uno de los administradores de paquetes afectados. "Esto significa que no se puede lanzar un ataque directamente contra una máquina de desarrollador de forma remota y requiere que se engañe al desarrollador para que cargue archivos con formato incorrecto", dijo Paul Gerste, investigador de SonarSource. "Pero, ¿siempre puede conocer y confiar en los propietarios de todos los paquetes utilizados o de los repositorios internos de la empresa?"

Existen riesgos de seguridad inherentes a las bibliotecas no autorizadas que se instalan en los repositorios y por eso se requiere que las dependencias se analicen adecuadamente para protegerse contra ataques de confusión de dependencias. Lamentablemente, este tipo de controles no se considera una operación potencialmente riesgosa.

Los problemas recientemente descubiertos en varios administradores de paquetes resaltan que los atacantes podrían crearlos para engañar a las víctimas para que ejecuten código malicioso. Las fallas se han identificado en los siguientes administradores de paquetes:

  • Composer 1.x < 1.10.23 and 2.x < 2.1.9 (fixed, CVE-2021-41116, 1 not fixed)
  • Bundler < 2.2.33 (fixed, CVE-2021-43809)
  • Bower < 1.8.13 (fixed, CVE-2021-43796)
  • Poetry < 1.1.9 (fixed, CVEs pending)
  • Yarn < 1.22.13 (fixed, CVE pending)
  • pnpm < 6.15.1 (fixed, CVE pending)
  • Pip (not fixed)
  • Pipenv (not fixed)

La principal de las debilidades es una falla de inyección de comandos en el comando de navegación de Composer que podría abusarse para lograr la ejecución de código arbitrario al insertar una URL en un paquete malicioso ya publicado.

Las vulnerabilidades adicionales de inyección de argumentos y rutas de búsqueda no confiables descubiertas en Bundler, Poetry, Yarn, Composer, Pip y Pipenv significaron que un atacante podría obtener la ejecución del código por medio de un ejecutable GIT con malware o un archivo controlado por un atacante como un Gemfile que se utiliza para especificar las dependencias de los programas de Ruby.

Tras la divulgación responsable el 9 de septiembre de 2021, se publicaron correcciones para abordar los problemas en Composer, Bundler, Bower, Poetry, Yarn y Pnpm. Pero Composer, Pip y Pipenv, los tres afectados por una falla de la ruta de búsqueda no confiable, han optado por no solucionar el error.

"Los desarrolladores son un objetivo atractivo para los ciberdelincuentes porque tienen acceso a los principales activos de propiedad intelectual de una empresa: el código fuente", dijo Gerste. "Comprometerlos permite a los atacantes realizar espionaje o incrustar código malicioso en los productos de una empresa. Esto incluso podría usarse para realizar ataques a la cadena de suministro".

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!