Exploit “Trojan Source” es peligroso y persistente para los proyectos abiertos
AS-118-2021
Fecha: 24/Nov/2021
Resumen:
Dos investigadores de la Universidad de Cambridge han descubierto una vulnerabilidad que afecta a la mayoría de los compiladores de código informático y a muchos entornos de desarrollo de software, lo cual se informó en un artículo de investigación titulado"Fuente de troyanos: vulnerabilidades invisibles".
Esta es la primera vulnerabilidad que afecta a casi todo, Trojan Source ha sido confirmada en las programaciones asociadas con los lenguajes C#, C++, C, Go, Java, JavaScript, Python y Rust.
La debilidad involucra el estándar de codificación de texto digital Unicode y, más específicamente, su algoritmo Bidi, que maneja la visualización del texto con diferentes órdenes de escritura, como el árabe (que se lee de derecha a izquierda) y el inglés o el español (en la dirección inversa).
En algunos escenarios, el orden predeterminado establecido por el algoritmo Bidi puede no ser suficiente; para estos casos, se prevé los caracteres de control de anulación, indican los científicos. Señalan que estos caracteres, que son invisibles, pueden insertarse muchas veces, permitiendo "reordenar las cadenas de manera casi arbitraria. Esto da a un adversario un control detallado, por lo que puede manipular el orden de visualización del texto convirtiéndolo en un anagrama de su orden lógicamente codificado, advierten los analistas.
Como resultado, el código manipulado puede verse normal para los humanos y, al mismo tiempo, ejecutarse de manera no esperada por los compiladores. Además, no se detectaría durante la revisión de la sintaxis de la programación en la mayoría de los idiomas.
Nuestra idea clave es que podemos reordenar los caracteres del código fuente de manera que el orden de visualización resultante también represente un código fuente sintácticamente válido", indican los expertos.
Dado que los caracteres de anulación de Bidi persiste a través de las funciones de copiar y pegar en la mayoría de los navegadores, editores y sistemas operativos modernos, es posible una proliferación que no se podría controlar del 'exploit', dijo Ross Anderson, uno de los autores del estudio, al portal Krebs On Security.
Cualquier desarrollador que copie código de una fuente que no sea de confianza en una base de código protegida puede introducir inadvertidamente una vulnerabilidad invisible, resaltó el experto.
Esas son malas noticias para proyectos como Linux y Webkit que aceptan contribuciones de personas al azar, las someten a revisión manual y luego las incorporan al código crítico.
Esta vulnerabilidad es, hasta donde yo sé, la primera que afecta a casi todo, señaló Anderson.
Ciertos caracteres podrían inyectarse en el código JavaScript para introducir puertas traseras invisibles y vulnerabilidades de seguridad. El investigador de seguridad Wolfgang Ettlinger, quien también es el Director de Certitude Consulting, indicó "¿qué pasa si una puerta trasera literalmente no se puede ver y, por lo tanto, evade la detección incluso de revisiones exhaustivas de códigos"?
Recomendaciones:
Es evidente que el desarrollador debería no copiar y pegar, podría parecer una pérdida de tiempo pero es importante que el desarrollador tome precauciones hasta que exista una remediación técnica de esta vulnerabilidad.
Referencias:
https://actualidad.rt.com/actualidad/409203-identificada-vulnerabilidad-afectar-casi-todo
https://www.bankinfosecurity.com/trojan-source-invisible-vulnerabilities-in-most-code-a-17833
