esenfrdeitptru

La falla crítica de Rust permite ataques de inyección de código en sistemas Windows, afecta también a varios lenguajes de programación

AS-025-2024

Fecha: 11/Abr/2024

Resumen:

Se puede explotar una vulnerabilidad de seguridad en la biblioteca estándar de Rust para atacar los sistemas Windows en ataques de inyección de comandos. La vulnerabilidad es identificada como CVE-2024-24576, este defecto se debe a debilidades en la inyección de comandos y argumentos del sistema operativo que pueden permitir a los atacantes ejecutar comandos inesperados y potencialmente maliciosos en el sistema operativo.

Rust es un lenguaje de programación y en una biblioteca estándar de este lenguaje, anterior a la versión 1.77.2 no escapaba correctamente a los argumentos, al invocar archivos por lotes (con las extensiones `bat` y `cmd`).

GitHub calificó esta vulnerabilidad como de gravedad crítica con una puntuación base CVSS máxima de 10/10. Los atacantes no autenticados pueden explotarlo de forma remota en ataques de baja complejidad.

Versiones afectadas.

Todas las versiones de Rust anteriores a la 1.77.2 en Windows se ven afectadas si el código de un programa o una de sus dependencias invoca y ejecuta archivos por lotes con argumentos que no son de confianza.

Ryotak , ingeniero de Flatt Security, descubrió la vulnerabilidad y la denominó BatBadBut. Dice que la falla también afecta a los siguientes lenguajes de programación; sin embargo, no todos han lanzado parches:

  • Erlang (actualización de la documentación)
  • Go (actualización de documentación)
  • Haskell (parche disponible)
  • Java (no se solucionará)
  • Node.js (el parche estará disponible)
  • PHP (el parche estará disponible)
  • Python (actualización de la documentación)
  • Ruby (actualización de la documentación)

Recomendaciones.

Para evitar la ejecución inesperada de archivos por lotes, debería considerar mover los archivos por lotes a un directorio que no esté incluido en la variable de entorno PATH, aconsejó Ryotak.

En este caso, los archivos por lotes no se ejecutarán a menos que se especifique la ruta completa, por lo que se puede evitar la ejecución inesperada de archivos por lotes.

La solución se incluirá en Rust 1.77.2.

Referencias:

https://www.bleepingcomputer.com/news/security/critical-rust-flaw-enables-windows-command-injection-attacks/

https://blog.rust-lang.org/2024/04/09/cve-2024-24576.html

https://nvd.nist.gov/vuln/detail/CVE-2024-24576

Tlp Clear 2023