Yamale de 23andMe, un esquema y validador YAML, ha revelado una vulnerabilidad de incrustación de código muy grave que los oponentes pueden explotar trivialmente para ejecutar código Python arbitrario.
El error, registrado como CVE-2021-38305 (puntuación CVSS: 7,8), implica la manipulación del archivo de esquema proporcionado como entrada a la herramienta para eludir la protección y lograr la ejecución del código. El problema está principalmente en la función de análisis del esquema, que le permite evaluar y ejecutar cualquier entrada pasada, lo que conduce a un escenario en el que una cadena especialmente diseñada en el esquema puede usarse incorrectamente para insertar comandos del sistema.
Yamale es un paquete de Python que permite a los desarrolladores validar YAML, el lenguaje de serialización de datos que se usa a menudo para escribir archivos de configuración, desde la línea de comandos. El paquete usa al menos 224 repositorios en GitHub.
«Esta brecha permite a los atacantes que pueden proporcionar un archivo de entrada de esquema para realizar la incrustación de código Python, lo que conduce a la ejecución del código con privilegios de proceso de Yamale», dijo el CTO de JFrog Security, Asaf Karas, en un comunicado por correo electrónico a The Hacker News. «Recomendamos que desinfecte a fondo todas las entradas que vayan a eval () y, lo mejor de todo, reemplace las llamadas a eval () con las API más específicas requeridas para su tarea».
Después de una detección responsable, el problema se solucionó en la versión 3.0.8 de Yamale. «Esta versión corrige un error en el que un archivo de esquema bien diseñado podría ejecutar código arbitrario en un sistema que ejecuta Yamale», señalaron los administradores de Yamale en las notas de la versión del 4 de agosto.
Los hallazgos son los últimos de una serie de problemas de seguridad que JFrog ha detectado en los paquetes de Python. En junio de 2021, Vdoo descubrió errores tipográficos en el repositorio de PyPi, que se encontraron para descargar y ejecutar criptógrafos de terceros como T-Rex, ubqminer o PhoenixMiner para extraer Etherea y Ubiq en sistemas comprometidos.
Posteriormente, el equipo de seguridad de JFrog descubrió otras ocho bibliotecas maliciosas de Python, que se descargaron al menos 30 000 veces y podrían usarse para ejecutar código remoto en la computadora de destino, recopilar información del sistema, extraer información de tarjetas de crédito y contraseñas almacenadas automáticamente en Chrome y Edge. navegadores e incluso robar tokens de autenticación de discordia.
«Los repositorios de paquetes de software se están convirtiendo en un objetivo popular para los ataques a la cadena de suministro, y ha habido ataques de malware en repositorios populares como npm, PyPI y RubyGems», dijeron los investigadores. «A veces se permite cargar paquetes de malware en el repositorio de paquetes, lo que brinda a los jugadores maliciosos la oportunidad de usar el repositorio para distribuir virus y lanzar ataques exitosos tanto en máquinas en desarrollo como en preparación de CI/CD».
