Un nuevo estudio muestra que casi todo el código informático del mundo es vulnerable a un tipo de exploit que podría (en el peor de los casos) resultar en ataques a la cadena de suministro a gran escala.
El fallo en cuestión fue descubierto por investigadores de la Universidad de Cambridge en Inglaterra, que han comenzado a llamarlo “Trojan Source”. Este “troyano” afecta lo que se conoce como compiladores de código: piezas clave de software que ayudan a que el código fuente escrito por humanos se ejecute en las máquinas.
Cuando se despliega un software, los programadores escriben en un lenguaje legible por humanos, el llamado código de “alto nivel”. Esto incluye lenguajes como Java, C++, Python, etc. Sin embargo, para que las instrucciones de la secuencia de comandos sean realmente ejecutadas por una computadora, el código debe traducirse a un formato legible por la máquina que consiste puramente en bits binarios, el llamado “código de máquina”. Aquí es donde entran en juego los compiladores. Actúan como intermediarios entre humanos y máquinas, traduciendo un lenguaje a otro.
Desafortunadamente, como muestra el nuevo estudio, también se pueden atacar con bastante facilidad. Según los hallazgos de los investigadores, casi todos los compiladores tienen un error que, cuando se explota adecuadamente, permite secuestrarlos de manera invisible con fines maliciosos. Con el exploit, actor malicioso podría, hipotéticamente, alimentar a las máquinas con un código diferente al que se pretendía originalmente, anulando efectivamente las instrucciones de un programa.
Como tal, “Trojan Source” podría utilizarse hipotéticamente para instigar ataques a la cadena de suministro a gran escala. Dichos ataques, como la reciente campaña contra SolarWinds, involucran la implementación silenciosa de programación maliciosa en productos de software como un vector para comprometer los sistemas y redes de objetivos específicos. En teoría, los hackers podrían utilizar este exploit para codificar vulnerabilidades en ecosistemas de software completos, lo que les permitiría utilizarlos para un ataque más dirigido. Como tal, la vulnerabilidad representa “una amenaza inmediata”, escriben los investigadores, y podría amenazar con “comprometer la cadena de suministro en toda la industria”.
El documento sugiere implementar varias protecciones nuevas específicamente orientadas a defender los compiladores como medio para evitar ese gran problema nuevo. El reportero de ciberseguridad Brian Krebs ha informado de que, como resultado del estudio, algunas organizaciones ya han prometido emitir parches relacionados con “Trojan”. Sin embargo, según los informes, otros están “arrastrando los pies”.
“El hecho de que la vulnerabilidad de Trojan Source afecte a casi todos los lenguajes informáticos hace que sea una oportunidad única para una comparación de respuestas entre plataformas y proveedores de todo el sistema y ecológicamente válida”, afirma el documento. “Dado que pueden lanzarse fácilmente ataques poderosos contra la cadena de suministro utilizando estas técnicas, es esencial que las organizaciones que participan en una cadena de suministro de software implementen defensas”.
Gizmodo