Vulnerabilidad día cero en Python permite ataques DOS; no hay parche disponible

Especialistas de una empresa de pentest reportan el hallazgo de una vulnerabilidad en Python, el popular lenguaje de programación. Acorde al reporte, la explotación de esta falla permitiría el despliegue de ataques de denegación de servicio (DoS).

A continuación se presenta una breve descripción de la vulnerabilidad reportada, además de su respectivo puntaje y clave de identificación según el Common Vulnerability Scoring System (CVSS).

Identificada como CVE-2020-14422, esta vulnerabilidad existe debido a que la aplicación calcula incorrectamente los valores hash en las clases IPv4Interface e IPv6Interface dentro de Lib/ipaddress.py en Python, lo que permitiría a los hackers remotos desplegar ataques DoS.

Los actores de amenazas pueden desencadenar el algoritmo de los recursos para realizar el ataque DoS si una aplicación es afectada por el rendimiento de un diccionario que contiene objetos IPv4Interface o IPv6Interface, generando múltiples entradas de diccionario, menconan los expertos  de una empresa de pentest.

La vulnerabilidad recibió un puntaje de 6.3/10 en la escala CVSS, por lo que se le considera una falla de seguridad media. La falla reside en las siguientes versiones de Python: 3.8.0, 3.8.1, 3.8.2 y 3.8.3.

A pesar de que la vulnerabilidad puede ser explotada por hackers remotos no autenticados a través de la red, los expertos de una empresa de pentest aún no han detectado casos de explotación activa. Los investigadores tampoco han detectado el hallazgo de alguna variante de malware vinculada a este ataque. La mala noticia es que no existe un parche para mitigar por completo el riesgo de explotación.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.