Un exploit permitió a un investigador de seguridad acceder a Apple, Microsoft y PayPal


El investigador de seguridad Alex Birsan ha encontrado una vulnerabilidad de seguridad que le permitió ejecutar código en servidores propiedad de Apple, Microsoft, PayPal y más de 30 empresas más (vía Computadora que suena). El exploit también es engañosamente simple, y es algo de lo que muchos grandes desarrolladores de software tendrán que descubrir cómo protegerse.

El exploit se aprovecha de un truco relativamente simple: reemplazar paquetes privados por públicos. Cuando las empresas están creando programas, a menudo utilizan código de fuente abierto escrito por otras personas, por lo que no pierden tiempo ni recursos en resolver un problema que ya está resuelto. Por ejemplo, he trabajado en sitios web que tenían que convertir archivos de texto en páginas web en tiempo real. En lugar de escribir código para hacerlo nosotros mismos, mi equipo encontró un programa que lo hizo y lo incorporó a nuestro sitio.

Estos programas disponibles públicamente se pueden encontrar en repositorios como npm para NodeJS, PyPi para Python y RubyGems para Ruby. Vale la pena señalar que Birsan descubrió que esos repositorios podrían usarse para llevar a cabo este ataque, pero no se limita solo a los tres.

Además de estos paquetes públicos, las empresas suelen crear sus propios paquetes privados, que no cargan, sino que los distribuyen entre sus propios desarrolladores. Aquí es donde Birsan encontró el exploit. Descubrió que si podía encontrar los nombres de los paquetes privados utilizados por las empresas (una tarea que resultó muy fácil en la mayoría de los casos), podría subir su propio código a uno de los repositorios públicos con el mismo nombre, y las empresas Los sistemas automatizados usarían su código en su lugar. No solo descargarían su paquete en lugar del correcto, sino que también ejecutarían el código dentro de él.

Para explicar esto con un ejemplo, imagine que tiene un documento de Word en su computadora, pero cuando fue a abrirlo, su computadora dijo: «Oye, hay otro documento de Word en Internet con el mismo nombre. Yo abriré ese en su lugar «. Ahora imagine que el documento de Word podría realizar cambios automáticamente en su computadora. No es una gran situación.

Parece que las empresas coincidieron en que el problema era grave. En su publicación Medium, Birsan escribió que «la mayoría de las recompensas por errores otorgadas se establecieron en la cantidad máxima permitida por la política de cada programa y, a veces, incluso más». Para aquellos que no están familiarizados, las recompensas por errores son recompensas en efectivo que las empresas pagan a las personas que encuentran errores graves. Cuanto más grave sea el error, más dinero pagarán.

Según Birsan, la mayoría de las empresas con las que contactó sobre el exploit pudieron parchear rápidamente sus sistemas para que ya no fueran vulnerables. Microsoft incluso armar un libro blanco explicando cómo los administradores de sistemas pueden proteger a sus empresas de este tipo de ataques, pero es francamente sorprendente que alguien haya tardado tanto en darse cuenta de que estas empresas masivas eran vulnerables a este tipo de ataques. Afortunadamente, este no es el tipo de historia que termina teniendo que actualizar inmediatamente todos los dispositivos de su casa, pero parece que será una semana larga para los administradores de sistemas que ahora tienen que cambiar la forma en que su empresa usa el código público.



Fuente: The Verge

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, aceptas el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver Política de cookies
Privacidad