Un exploit permite a un investigador de seguridad de Apple, Microsoft y PayPal

El analista de seguridad Alex Pearson ha identificado una vulnerabilidad de seguridad que permitió que el código se ejecutara en servidores propiedad de Apple, Microsoft, PayPal y más de 30 empresas (Vía Computadora para dormir). La explotación también es muy simple, y muchos desarrolladores de software importantes deben descubrir cómo protegerse.

La explotación aprovecha una táctica relativamente simple: reemplazar los paquetes privados por bienes públicos. Cuando las empresas crean programas, a menudo usan código fuente abierto escrito por otros, por lo que no gastan tiempo y recursos en resolver un problema que ya ha sido resuelto. Por ejemplo, he trabajado en sitios web que necesitan convertir archivos de texto en páginas web en tiempo real. En lugar de escribir código para hacer eso, mi equipo encontró un programa que lo hizo y lo creó en nuestro sitio.

Estos programas generalmente disponibles se pueden encontrar en repositorios como npm para NodeJS, PyPi para Python y Rubijems para Ruby. Cabe destacar que Birson descubrió que esos repositorios podrían usarse para llevar a cabo este ataque, pero este no es el único tercero.

Además de estos paquetes públicos, las empresas suelen crear los suyos propios, que no cargan, sino que distribuyen entre sus propios desarrolladores. Aquí es donde Birson descubrió la explotación. Pensó que si podía encontrar los nombres de los paquetes privados utilizados por las empresas (en la mayoría de los casos sería mucho más fácil), podría cargar su propio código en uno de los repositorios públicos del mismo nombre, y las empresas utilizarían su código en lugar de sistemas automatizados. En lugar de descargar su paquete en lugar del paquete correcto, ejecutarán el código dentro de él.

Para ilustrar esto con un ejemplo, imagine que tiene un documento de Word en su computadora, pero cuando lo abre, su computadora dice: “Oye, hay otro documento de Word en Internet con el mismo nombre. Lo abriré en su lugar. Ahora imagine que el documento de Word puede realizar cambios automáticamente en su computadora. Esta no es una gran situación.

Parece que las empresas han reconocido que el problema es grave. En su publicación del medioPirson escribió: “La mayoría de las libras otorgadas se fijaron en la cantidad máxima permitida por la política de cada proyecto, y algunas veces incluso más”. Para aquellos que no están familiarizados, los créditos por error son recompensas en efectivo que se pagan a personas que encuentran errores graves. Cuanto más grave sea el error, más dinero pagarán.

Según Pirson, la mayoría de las empresas con las que se puso en contacto con respecto a la explotación pudieron integrar rápidamente sus sistemas para que ya no se vieran afectadas. También existe Microsoft Adjunte una hoja de papel blanco Explica cómo los administradores de computadoras pueden proteger a sus empresas de este tipo de ataques, pero es sorprendente cuánto tiempo le tomó a alguien darse cuenta de que estas empresas masivas son vulnerables a este tipo de ataques. Afortunadamente, este no es el tipo de historia que debería actualizar inmediatamente todos los dispositivos en su hogar, pero parece que será una semana larga para que los administradores de computadoras cambien la forma en que su empresa usa el código público.