RubyGems corrige error de adquisición de paquetes no autorizados

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El repositorio de paquetes de RubyGems ha solucionado una vulnerabilidad crítica que permitiría a cualquier persona anular la publicación ("retirar") ciertos paquetes de Ruby del repositorio y volver a publicar sus versiones corruptas o maliciosas con los mismos nombres de archivo y números de versión.

Asignado CVE-2022-29176, la falla crítica existía en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que es el equivalente de Ruby de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, y aloja más de 170 000 paquetes de Ruby (gemas) con casi 100 000 millones de descargas a lo largo de su vida útil.

Una auditoría inicial de RubyGems revela que la vulnerabilidad no se ha explotado en los últimos 18 meses para alterar ninguna gema, pero aún se está realizando una auditoría más profunda cuyos resultados aún no se han anunciado.

Secuestrar una gema: tirar, alterar, volver a publicar

Esta semana, RubyGems anunció que un error crítico podría haber permitido a cualquier usuario de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta extraer versiones de una gema para la que no tenía autorización y reemplazar el contenido de la gema con archivos más nuevos.

Similar a npm para paquetes de NodeJS, RubyGems es un administrador de paquetes para el lenguaje de programación Ruby y proporciona un formato estandarizado para distribuir artefactos de Ruby terminados (llamados "gemas"). El registro de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta es el servicio de alojamiento de gemas de la comunidad que permite a los desarrolladores publicar o instalar gemas al instante y usar un conjunto de API especializadas.

Si un actor de amenazas se da cuenta de tal falla, podría reemplazar silenciosamente el contenido de los paquetes legítimos de Ruby con malware, algo que tiene ecos de las populares bibliotecas ua-parser-js, coa y rc de npm que fueron secuestradas el año pasado para distribuir mineros y ladrones de contraseñas.

Aunque los incidentes de secuestro de npm se derivaron de los compromisos de la cuenta del mantenedor en lugar de una explotación de vulnerabilidad, causaron estragos ya que más de mil proyectos han utilizado bibliotecas como 'ua-parser-js', incluidos los utilizados por Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic, Intuit, Reddit y muchas más empresas conocidas.

En el caso de Ruby, la explotación masiva de dicho exploit podría causar un daño generalizado al ecosistema de Ruby y a la seguridad general de la cadena de suministro de software.

Para explotar la vulnerabilidad, explica RubyGems, se deben cumplir las siguientes condiciones:

    La gema a la que se apunta tiene uno o más guiones en su nombre, ej: "nombre-proveedor"
    La palabra que viene antes del primer guión representa una gema controlada por el atacante que existe en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.
    La gema que se extrajo o modificó se creó en los últimos 30 días o no se actualizó en más de 100 días.

"Las organizaciones con muchas gemas no eran vulnerables siempre que fueran propietarias de la gema con el nombre antes del guión, por ejemplo, poseer el nombre de órgano de gema protegía todas las gemas con nombres como proveedor de nombre de órgano".

Esta vulnerabilidad, asignada CVE-2022-29176, acechaba en la "acción de extracción" del código de RubyGems y ahora se solucionó.

Desarrollador independiente y pentester, Greg Molnar ha explicado la falla con un poco más de profundidad técnica.

En este momento, los mantenedores de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta no creen que se haya explotado la vulnerabilidad, según los resultados de una auditoría que analizó los cambios de gemas realizados en los últimos 18 meses en la plataforma.

Pero los propietarios del registro afirman que se está llevando a cabo una auditoría más profunda y sus resultados aparecerán en el aviso de seguridad publicado para esta vulnerabilidad, que también contiene algunas mitigaciones.

"No tienes permitido ver los links. Registrarse o Entrar a mi cuenta envía un correo electrónico a todos los propietarios de gemas cuando se publica o elimina una versión de gema. No hemos recibido ningún correo electrónico de soporte de los propietarios de gemas que indique que su gema ha sido eliminada sin autorización", afirma el aviso.

Los desarrolladores de RubyGem pueden auditar su historial de aplicaciones en busca de posibles exploits pasados revisando su Gemfile.lock y buscando gemas cuya plataforma haya cambiado y los números de versión permanezcan sin cambios.

Por ejemplo, ver la gema gemname-3.1.2 renombrada como gemname-3.1.2-java es una posible señal de que se ha explotado la vulnerabilidad.

Se le atribuye al usuario laursisask la notificación de la vulnerabilidad a través de HackerOne.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta