Una vulnerabilidad recientemente revelada que afecta a las bibliotecas de software de código abierto debería preocuparle la seguridad de sus proyectos de codificación.

    Video: El software de código abierto es el futuro de la tecnología empresarialLas empresas utilizan código abierto porque es útil, fiable y está comprobado por la comunidad. El colaborador de ConsejoTecnologico.com Matt Asay explica las grandes razones por las que el código abierto es el futuro de la tecnología empresarial.

    Una vulnerabilidad recientemente revelada en la forma en que las bibliotecas de software de código abierto manejan los archivos de archivo revela que sólo se necesita un archivo malicioso y una comprobación de falta de validación para dar el control total de un equipo víctima a un atacante.

    Apodada Zip Slip Slip, la vulnerabilidad fue descubierta por investigadores de la empresa de software Snyk, y afecta a múltiples ecosistemas y miles de proyectos, incluidos los de grandes empresas como HP y Amazon.

    Más información sobre ciberseguridad

    «Zip Slip es una vulnerabilidad crítica de sobreescritura de archivos arbitraria y generalizada, que suele dar lugar a la ejecución de comandos remotos», dijo el equipo de Snyk. Se ha encontrado en JavaScript, Ruby,.NET y Go y es especialmente frecuente en Java porque no existe una biblioteca central para manejar archivos de archivo.

    La lista de proyectos afectados publicada en GitHub por Snyk es extensa, y cualquiera que utilice bibliotecas de código abierto debería echar un vistazo para asegurarse de que no son vulnerables.

    Cómo funciona Zip Slip

    En su esencia, Zip Slip Slip es bastante simple de entender: Es un ataque transversal a un directorio que intenta introducir código en una ubicación oculta cuando se descomprime el archivo.

    Los ataques transversales a directorios se basan en el uso de «…» en lugar de nombres de directorios particulares en código para mover archivos al directorio raíz de una máquina. Si el software de descompresión utiliza la comprobación de validación, no permitirá ataques cruzados y detendrá Zip Slip Slip.

    El problema es que muchas bibliotecas de software de código abierto no validan los directorios al descomprimir, lo que permite a Zip Slip Slip dejar caer libremente su carga útil maliciosa.

    Una vez descomprimido, el código malicioso de Zip Slip Slip puede «sobreescribir archivos ejecutables e invocarlos remotamente o esperar a que el sistema o el usuario los llamen, logrando así la ejecución de comandos remotos en el equipo de la víctima», dijo Snyk.

    Defensa contra el deslizamiento de la cremallera

    Snyk da algunas sugerencias para protegerse contra Zip Slip, y el proceso es bastante simple.

    En primer lugar, compruebe que sus proyectos no tengan código vulnerable. Snyk ha proporcionado fragmentos de código vulnerable para Java, Groovy, JavaScript,.NET, Go, Ruby y Python.

    VER: Guía del líder de TI para hacer que DevOps funcione (Tech Pro Research)

    Si has determinado que eres vulnerable, puedes encontrar enlaces a versiones actualizadas siguiendo el enlace de GitHub al proyecto Zip Slip que se muestra arriba. Después de eso, debería estar todo configurado, siempre y cuando su código valide los directorios al descomprimir archivos comprimidos, estará protegido.

    Algunos desarrolladores de software pueden tener cientos de bibliotecas para buscar, lo que hace que la búsqueda de fragmentos de código sea insostenible. Para esas personas, Snyk recomienda utilizar una herramienta de exploración de vulnerabilidades de dependencia para buscar código vulnerable como parte de su ciclo de desarrollo.

    La solución para este problema es simple, y la alternativa es potencialmente devastadora. Revise su código hoy para asegurarse de que Zip Slip Slip no afecte sus proyectos.

    • Una nueva vulnerabilidad que afecta a las bibliotecas de software de código abierto podría dar capacidades de ejecución remota a un atacante, permitiéndole introducir un archivo malicioso en un proyecto de software.
    • El problema existe en múltiples ecosistemas, pero es fácil de identificar y solucionar. Se aconseja a los usuarios de bibliotecas de código abierto que protejan sus sistemas inmediatamente.

    Boletín informativo de consejotecnologico.com

    Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves

    mismo

    Véase también