Se ha abordado una vulnerabilidad de inyección de comandos en asciidoctor-include-ext, una popular biblioteca de Ruby que permite a los usuarios analizar y convertir archivos AsciiDoc. Según el reporte, esta vulnerabilidad permite la ejecución remota de código (RCE) en los sistemas adyacentes, lo que permitiría a los actores de amenazas tomar control total de toda la aplicación y sus datos.
El ingeniero de seguridad Joern Schneeweisz, a cargo del reporte, menciona que es posible forzar la ejecución remota de código en asciidoctor-include-ext alimentando cadenas de entrada especialmente diseñadas: “La biblioteca hizo uso de `open`/`IO.foreach` para incluir archivos y URL. Ambos métodos se pueden usar para ejecutar comandos cuando se antepone un símbolo de canalización como `|some_command –some argument` para leer desde la salida estándar de ese comando en lugar de un archivo”, reporta el especialista.
La explotación exitosa permitiría a los actores de amenazas obtener los derechos otorgados al proceso comprometido. La falla recibió un puntaje de 10/10 según el Common Vulnerability Scoring System (CVSS): “El ataque es bastante fácil y hay un exploit divulgado públicamente”, agrega Schneeweisz.
Este tipo de vulnerabilidad fue confirmada por primera vez en 2015, cuando el investigador Egor Homakov detalló cómo las bibliotecas de contenedores de Ruby, como las que se usan en asciidoctor-include-ext, podrían ser explotadas en ataques de ejecución remota de código. Según el experto, la conducta predeterminada de open-uri es muy peligrosa y altamente propensa a fallas como esta.
Para Homavok, esta biblioteca debería haber sido eliminada o dividida en diferentes funciones, por ejemplo, openSystem, openURI y openFile, eliminando así las ambigüedades y el riesgo de seguridad asociado a estas herramientas; a pesar de estos reportes, las vulnerabilidades no fueron corregidas sino hasta ahora, en una decisión criticada por toda la comunidad de la ciberseguridad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
