Una vulnerabilidad de sobrescritura de archivos arbitraria afecta una miríada de proyectos, revelan investigadores.
La falla, conocida como Zip Slip por los expertos en cursos de seguridad informática que la han analizado, ya ha sido vista en el pasado, pero nunca a una escala tan grande como ahora.
Zip Slip es una especie de directorio transversal que puede ser utilizado extrayendo archivos de otras carpetas, la premisa de esta vulnerabilidad es que el atacante pueda obtener acceso a partes del archivo del sistema fuera de las carpetas donde estos residen, explican los especialistas en cursos de seguridad informática. La vulnerabilidad se explota utilizando una carpeta especialmente diseñada que contiene nombres de archivo de directorio transversal, para explotar esto sólo se requieren archivos maliciosos y códigos de extracción sin revisión de validación.
Crear estos archivos maliciosos es fácil con las herramientas adecuadas, dicen los investigadores, y las bibliotecas vulnerables y los fragmentos de código son abundantes.
Los desarrolladores no son expertos en seguridad; generalmente se centran en entregar el código a tiempo y, por lo tanto, pueden pasar fácilmente por alto fallos de seguridad, incluso si la práctica les es conocida, reporta el Instituto Internacional de Seguridad Cibernética.
Con tantos recursos a su disposición, los desarrolladores confían demasiado en librerías compartidas y en el copiado-pegado de código extraído de redes como StackOverflow para mantener su trabajo constante, esto acelera sus procesos, pero también significa que la vulnerabilidad se expande mucho más rápido, como es el caso de Zip Slip.
¿Qué tan extendida está la vulnerabilidad?
La vulnerabilidad Zip Slip puede afectar numerosos formatos de archivo.
Se ha encontrado en muchos repositorios en muchos ecosistemas (Java, JavaScript, Ruby) y en librerías de las que dependen miles de aplicaciones. Es especialmente frecuente en Java porque no existe una biblioteca central que ofrezca un alto nivel de procesamiento de archivos, hallaron los investigadores, por lo que los desarrolladores tuvieron que escribir su propio código o usar código compartido.
Acorde al Instituto Internacional de Seguridad Cibernética, no se han presentado reportes sobre hackers explotando la vulnerabilidad, aunque existen herramientas que pueden usarse para facilitar un ataque.
“Detectar un sistema que ya fue comprometido es muy difícil, ya que el resultado del exploit se ve reflejado simplemente como archivos en el sistema”, comentan los especialistas.
Las herramientas de detección de vulnerabilidades pueden identificar ataques mientras suceden mediante la inspección de archivos comprimidos y otros archivos introducidos en la red desde diferentes fuentes, examinando los archivos enumerados en ellos y marcando cualquier archivo que se refiera a carpetas externas.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad