Zip Slip, la amenaza dormida

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Investigadores de seguridad han revelado detalles de la vulnerabilidad crítica llamada “Zip Slip” que afecta a miles de proyectos en muchos ecosistemas y que pueden ser explotados por atacantes para lograr la ejecución del código en los sistemas de destino.

Zip Slip, el problema es una vulnerabilidad de sobrescritura de archivos arbitraria que se desencadena desde un ataque de directorio mientras extrae archivos de un archivo y afecta a numerosos formatos, incluidos tar, jar, war, cpio, apk, rar y 7z.

Se vieron afectados miles de proyectos escritos en varios lenguajes de programación, incluidos JavaScript, Ruby, Java, .NET y Go: de Google, Oracle, IBM, Apache, Amazon, Spring / Pivotal, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch, JetBrains y más códigos y bibliotecas vulnerables.

No se detectó durante años, la vulnerabilidad puede explotarse utilizando un archivo guardado, especialmente diseñado, que contiene nombres de archivos de cruce de directorios que, si los extrae cualquier código vulnerable o una biblioteca, permitiría que los atacantes descompusieran archivos maliciosos fuera de la carpeta donde debería residir.

Al usar este ataque de deslizamiento de lateral, un atacante puede incluso sobreescribir archivos ejecutables o archivos de configuración legítimos para que una aplicación engañe al sistema o al usuario para ejecutarlo, “logrando así la ejecución remota de comandos en la máquina de la víctima”, explica la compañía.

La vulnerabilidad también puede causar daños al sobrescribir los archivos de configuración u otros recursos confidenciales, y puede explotarse en máquinas y servidores cliente (usuario).

El contenido de este archivo comprimido tiene que estar hecho a mano. Las herramientas de creación de archivos no suelen permitir a los usuarios agregar archivos con estas rutas, a pesar de la especificación zip que lo permite.

Sin embargo, con las herramientas adecuadas, es fácil crear archivos con estas rutas.

Los investigadores también han publicado archivos Zip Slip de prueba de concepto y lanzaron una demostración en video, que muestra cómo los atacantes pueden explotar la vulnerabilidad de Zip Slip.

Desde abril, la compañía comenzó a revelar de forma privada la vulnerabilidad de Zip Slip a todas las bibliotecas vulnerables y mantenedores de proyectos. También se ha publicado una lista de todas las bibliotecas y proyectos afectados en el repositorio GitHub de Snyk, algunos de los cuales ya han solucionado el problema con el lanzamiento de las versiones actualizadas.

Además, también puede leer la publicación de blog de Snyk para obtener más información sobre códigos vulnerables en diferentes ecosistemas a través de ejemplos de fragmentos.

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS