Vulnerabilidad crítica TARmageddon (CVE-2025-62518) afecta async-tar y tokio-tar

Una vulnerabilidad de alta gravedad en la biblioteca async-tar de Rust, ahora abandonada, y sus múltiples bifurcaciones está siendo catalogada como una amenaza crítica para la cadena de suministro de software. Rastreada como CVE-2025-62518, esta falla lógica —bautizada como TARmageddon por la firma de ciberseguridad Edera— puede permitir a atacantes no autenticados ejecutar código remoto en sistemas que utilicen software sin parchear.

El descubrimiento ha generado gran preocupación dentro de la comunidad de desarrollo de Rust, ya que afecta directamente a bibliotecas muy utilizadas para la manipulación y extracción de archivos TAR, pilares en numerosas herramientas de empaquetado y despliegue automatizado.

Un fallo lógico con potencial de ejecución remota de código

La vulnerabilidad CVE-2025-62518 es el resultado de un problema de desincronización lógica que ocurre cuando el analizador TAR procesa archivos anidados con encabezados extendidos ustar y PAX que no coinciden. Esta falta de validación provoca que el sistema confunda partes del contenido con encabezados TAR legítimos, lo que abre la puerta a la inyección de entradas de archivo adicionales por parte de un atacante.

En términos prácticos, este error permite que un actor malicioso inserte o sobrescriba archivos arbitrarios durante el proceso de extracción, pudiendo reemplazar componentes esenciales del sistema, alterar configuraciones o incluso ejecutar código malicioso de manera remota.

Edera, responsable del hallazgo, advirtió que esta vulnerabilidad puede tener un impacto directo en la seguridad de la cadena de suministro, especialmente en proyectos que realizan empaquetado automatizado o compilaciones distribuidas, donde la manipulación de archivos TAR es una operación común.

TARmageddon: una amenaza a la cadena de suministro de software

El nombre TARmageddon no es casual. Según Edera, el exploit puede ser utilizado para sobrescribir archivos críticos durante procesos de instalación o despliegue, comprometiendo la integridad de los entornos de desarrollo y producción.

Citar"Los actores de amenazas pueden aprovechar TARmageddon para reemplazar archivos de configuración y secuestrar backends de compilación en ataques a la cadena de suministro", indicó Edera en su informe técnico.

La vulnerabilidad afecta tanto a la biblioteca async-tar original como a tokio-tar, una bifurcación muy popular que ha acumulado más de 7 millones de descargas en el registro oficial de paquetes de Rust, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Lo más preocupante es que ambas versiones han sido abandonadas, lo que deja a los desarrolladores sin soporte oficial y expone a miles de proyectos que aún las utilizan.

Impacto masivo en el ecosistema Rust

A pesar de que algunas bifurcaciones activas de async-tar y tokio-tar han recibido actualizaciones de seguridad, el alcance del impacto sigue siendo difícil de medir. Edera reconoció que la distribución descentralizada y la reutilización masiva de estas bibliotecas hace imposible estimar con precisión cuántos proyectos permanecen vulnerables.

Citar"Debido a la naturaleza generalizada del tokio-tar en varias formas, no es posible cuantificar realmente el radio de explosión de este insecto en todo el ecosistema", explicó Edera.

Además, la compañía subrayó que, aunque bifurcaciones mantenidas activamente —como astral-tokio-tar— ya han sido parchadas, tokio-tar original sigue sin recibir correcciones oficiales, lo que representa un desafío sistémico importante para la seguridad en el desarrollo con Rust.

Proyectos afectados por TARmageddon

El impacto de CVE-2025-62518 se extiende a una gran variedad de proyectos y plataformas que utilizan tokio-tar o async-tar como dependencia. Entre los más destacados se encuentran:

• Binstalk, un gestor de dependencias ampliamente usado en entornos DevOps.
• uv, el administrador de paquetes de Python desarrollado por Astral.
• wasmCloud, una plataforma de aplicaciones universales basada en WebAssembly.
• liboxen, una biblioteca de gestión de datos descentralizada.
• testcontainers, una herramienta de código abierto utilizada para pruebas de integración con contenedores.

Según Edera, mientras algunos proyectos han anunciado planes para migrar a versiones parcheadas o eliminar la dependencia vulnerable, otros aún no han respondido a las notificaciones. Esto sugiere que un número desconocido de aplicaciones críticas podrían seguir utilizando versiones afectadas, incrementando el riesgo de ataques a la cadena de suministro.

Recomendaciones para desarrolladores y equipos de seguridad

Edera ha emitido una serie de recomendaciones urgentes para mitigar el riesgo asociado con la vulnerabilidad TARmageddon:

• Actualizar inmediatamente a una versión parcheada de las bibliotecas afectadas.
• Eliminar la dependencia vulnerable de tokio-tar o async-tar si no se dispone de una versión segura.
• Migrar a la bifurcación mantenida activamente:
• astral-tokio-tar, respaldada por Astral Security.
• Revisar las dependencias indirectas (downstream) que podrían estar utilizando versiones vulnerables.
• Implementar controles de integridad en la cadena de suministro, como la firma de paquetes y la verificación de hashes SHA256.

Edera también confirmó que su propia bifurcación asíncrona, krata-tokio-tar, será archivada para evitar confusión y fomentar la adopción de las versiones oficiales mantenidas por Astral.

Un recordatorio sobre la fragilidad de la cadena de suministro

La vulnerabilidad TARmageddon (CVE-2025-62518) pone en evidencia los riesgos inherentes del software de código abierto abandonado, especialmente cuando su uso se extiende de manera masiva en ecosistemas modernos como Rust. La dependencia de componentes sin mantenimiento puede convertirse en un punto único de fallo con potencial para comprometer infraestructuras enteras.

Las organizaciones deben adoptar una postura proactiva: auditar dependencias, aplicar parches sin demora y migrar hacia bifurcaciones seguras. De lo contrario, el ecosistema Rust podría enfrentarse a un nuevo "apocalipsis TAR", con consecuencias devastadoras para la seguridad de la cadena de suministro global.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login