El martes (9) fue un día de parche el martes cuando Microsoft (y otras compañías) liberen actualizaciones de seguridad importantes. El último paquete corrige 56 vulnerabilidades en el software de la empresa. En medio de ellos, es un fracaso que también se encontró en sistemas de empresas como Apple, Netflix y Tesla.
El problema en la pregunta fue identificado por un investigador llamado Alex Birsan , que bautizó «confusión de dependencia». Explica que los desarrolladores (y los profesionales de TI en general, presumiblemente) están acostumbrados a instalar dependencias para sus proyectos de comandos simples, tales como:
Pippage Package_name
Cuando realizamos instrucciones como esta, confiamos ciegamente en que los paquetes descargados son legítimos y seguros. El problema es que, en muchos casos, los paquetes están disponibles en repositorios públicos, lo que puede recibir conjuntos de códigos de cualquier persona.
Entre estos repositorios son NPM (para el nodo), PYPI (para Python) y rubygems (para Ruby ). Birsan señala que ningún repositorio público puede garantizar que los paquetes disponibles en ellos estén libres de código malicioso.
bajo ciertas circunstancias, los invasores pueden bautizar códigos dudosos con nombres como paquetes populares o, en Casos extremos, explore las técnicas que comprometen los códigos legítimos, por ejemplo.
En un experimento realizado el año pasado, Birsan ha accedido a un código utilizado internamente por PayPal que llamó los paquetes de repositorios públicos y privados. Con su trabajo, descubrió que algunos paquetes requeridos en la NPM no estaban disponibles en este repositorio, sino en servidores internos.
Recuerda, las NPM son públicas. Como base en esto, el investigador se preguntó: si envió a este repositorio paquetes "maliciosos" con los mismos nombres en las dependencias públicas que faltan en el proyecto PayPal, se activarían?
Encontró que sí. Por lo tanto, por defecto, el paquete público tiene prioridad: el paquete almacenado en un servidor interno solo se solicita si no se encuentra en el exterior. Asimismo, descubrió que el problema también existía en proyectos de más de 30 empresas, entre ellos, Apple, Microsoft Netflix, Tesla y Uber.
Alex Birsan notificó a las empresas afectadas sobre el problema. Este fue un trabajo de colaboración, no una extorsión: los códigos utilizados por él no tenían nada malicioso, solo sirvieron para probar la vulnerabilidad.
Desde entonces, el investigador ha sido recompensado por su trabajo. Apple, por ejemplo, le pagó $ 30,000 a él. A su vez, Microsoft ha desembolsado el valor más alto (hasta ahora): $ 40,000. En el caso de ello, el problema pone proyectos basados en el servicio de repositorios de artefactos de Azure. Como se informó al comienzo del texto, se corrigió la falla.
En total, Birsan ya ha ganado más de $ 130,000 dólares con el descubrimiento.
Con información: Ars Technica.