Conecta con nosotros

Noticias

Investigador logra hackear 35 tecnológicas con un nuevo ataque de cadena de suministro

Publicado el

Investigador logra hackear 35 tecnológicas con un nuevo ataque de cadena de suministro

El investigador experto en seguridad Alex Birsan ha descubierto una vulnerabilidad que le ha permitido hackear y ejecutar código en diversos servidores propiedad de unas 35 empresas de tecnología, entre las que están Apple, Microsoft o PayPal. Se trata de un problema de seguridad bastante simple, y que las tecnológicas tendrán que descubrir cómo solucionar para poder estar protegidas. Como ha detallado el investigador en un post, el exploit saca partido de un truco sencillo: sustituir paquetes privados por otros públicos.

Cada vez es más frecuente que las empresas desarrollen software open source, y para ello, con cierta frecuencia, emplean código open source escrito por terceros. No invierten en desarrollar sus propias soluciones. Sencillamente, si alguien ya ha escrito código que les sirve, lo utilizan. Estos módulos o paquetes de código ya creado se pueden encontrar en diversos repositorios. Entre ellos están npm para Node.js, Pypi para Python o RubyGems para Ruby. Estos tres se pueden utilizar como vehículo para el ataque, pero hay muchos más que pueden servir perfectamente para ello, tal como ha comprobado Birsan.

Además de utilizar paquetes públicos, las empresas suelen desarrollar los suyos y mantenerlo en privado hasta cierto punto. No los suben a repositorios, pero los distribuyen entre sus desarrolladores. Aquí es donde Birsan descubrió el exploit: se dió cuenta de que si era capaz de encontrar los nombres de los paquetes privados que usan las empresas, algo que en la mayoría de los casos es bastante sencillo, podría subir su propio código a los repositorios públicos con el mismo nombre. Entonces, los sistemas automatizados de las empresas utilizarían su código en vez del desarrollado por ellos. Entonces no solo descargaban su paquete en lugar del que deberían, sino que también ejecutaban el código que había en él.

Todo apunta a que para las empresas el problema es serio. De hecho, la mayoría de empresas a las que pueden hackear por este medio, tal como les ha demostrado Birsan, le han ofrecido la mayor cantidad que acostumbran a pagar como recompensa a quienes descubren bugs en su código que les pueda llevar a sufrir ataques y otros problemas. Cuanto más severo es el problema que descubre el investigador, más cantidad se lleva como recompensa. El hecho de que muchas tecnológicas le hayan pagado la mayor cantidad que tienen estipulada en estos casos da una idea de la gravedad del fallo.

Según Birsan, la mayoría de empresas a las que avisó del fallo de seguridad fueron rápidas a la hora de parchear sus sistemas para evitar vulnerabilidades. Microsoft ha ido un paso más allá y ha publicado un documento en el que explica cómo pueden los administradores de sistemas proteger sus empresas de estos tipos de ataques y evitar que les puedan hackear con este sistema. Afortunadamente para los usuarios, no es un tipo de ataque que lleve a tener que actualizar todo tipo de sistemas, pero sí que va a dar bastante trabajo a los administradores de sistemas, que no van a tener más remedio que hacer cambios en cómo utilizan sus empresas código público.

Relacionados:

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Click para comentar

Lo más leído