Търсене
Close this search box.

Грешка в R излага на огромен риск във веригата за доставки

Уязвимост с висока степен на опасност в процес на езика за програмиране R може да изложи организациите, използващи популярния език с отворен код, на атаки по веригата за доставка на софтуер.

Уязвимостта, обозначена като CVE-2024-27322, има CVSS оценка за уязвимост и сериозност 8,8 от 10. Тя е свързана с процеса на R за десериализиране на данни или преобразуване на обекти, кодирани във формати като JSON, XML и двоичен формат, обратно в първоначалната им форма за използване в приложение или програма.

R е сравнително широко използван език за статистически изчисления и графични приложения. Той е популярен сред разработчиците в сектори като финансовите услуги, здравеопазването, научните изследвания, държавното управление и в среди, включващи големи масиви от данни, като изкуствения интелект и машинното обучение. В мрежата CRAN (Comprehensive R Archive Network), която е най-популярното хранилище на пакети за R, понастоящем се намират над 20 000 пакета, а в сайта R-Forge, който предоставя инструменти за разработване на пакети за R, има над 15 800 регистрирани членове и се намират около 2 146 проекта.

Проблем с десериализирането

Изследователи от HiddenLayer откриха слабост в процеса на R, която дава възможност на атакуващите да изпълняват произволен код в средата на жертвата чрез специално създаден файл R Data Serialization (RDS). Програмистите обикновено използват RDS файлове, за да съхраняват или записват обекти в R за бъдеща употреба или за споделяне с други хора.

„Тази уязвимост може да бъде използвана чрез зареждане на RDS файлове или R пакети, които често се споделят между разработчици и учени, занимаващи се с данни“, казват изследователите от HiddenLayer Казимир Шулц и Киран Евънс в доклад от тази седмица. „Нападателят може да създаде злонамерени RDS файлове или R пакети, съдържащи вграден произволен R код, който се изпълнява на целевото устройство на жертвата при взаимодействие“, се казва в доклада.

Поддържащите R са отстранили проблема във версия 4.4.0 на R, след като HiddenLayer ги е информирала за проблема.

Мързеливото оценяване  позволява прекрояване

Уязвимостта в R, която HiddenLayer откри, е свързана с две основни концепции в R, наречени „мързеливо оценяване“ и „обекти за обещания“. Мързеливото оценяване е техника за програмиране, при която програмата на R не оценява израз или променлива, докато това не се изисква или когато има директен достъп до тях. Целта е да се подобри производителността, като се избегнат изчисления за изрази, които в крайна сметка може да не са необходими. Обектът обещание е тясно свързан с мързеливото оценяване и представлява обект, чието оценяване е било отложено.

Това, което изследователите от HiddenLayer откриха, беше начин да създадат обект обещание с полезен товар, който да изпълнява код по техен избор, когато обектът е достъпен по време на десериализация на RDS файл.

„Пакетите R използват формата RDS за запазване и зареждане на данни“, според HiddenLayer. Двата файла, които улесняват този процес, са .rdb файл, който съдържа всички сериализирани обекти, които трябва да бъдат включени в пакета, и .rdx файл, който съдържа метаданни за всеки от обектите.

„Когато се зарежда пакет, метаданните, съхранявани в RDS формат в рамките на файла .rdx, се използват за намиране на обектите в рамките на файла .rdb“, се посочва в анализа. След това обектите в .rdb файловете се десериализират.

„Атакуващият може да се възползва от това, като създаде RDS файл, който съдържа специално подготвен обект на обещание, вграден с произволен код“, казва Шулц пред Dark Reading. „Поради начина, по който R прилага мързеливо оценяване, вграденият произволен код ще бъде изпълнен, след като потребителят зареди злонамерения файл или пакет.“ Нападателят може сравнително лесно да добави оръжеен пакет в хранилище на R, като например CRAN, и просто да изчака непредпазлив потребител да зареди този пакет.

Потенциално обширна повърхност за атака: Множество източници на заразяване

Съществуват буквално десетки големи центрове, като R-Forget и Bioconductor, които разработчиците на R използват за споделяне и изтегляне на пакети. Тези хъбове не само осигуряват на разработчиците достъп до хиляди пакети, но някои от тях, като Bioconductor, с повече от 42 милиона изтегляния, се използват редовно, казва Шулц. „Някой просто трябва да се възползва от уязвимостта и огромното пространство с отворен код за пакети R, за да засегне хиляди потребители надолу по веригата в потенциално мащабна атака по веригата за доставки“, казва той.

Шулц препоръчва на организациите да преминат към най-новата версия на R, за да намалят риска: „Освен това организациите трябва да гарантират, че потребителите на R са запознати с настоящите и потенциалните бъдещи уязвимости от този характер и да въведат политика за използване само на известни надеждни файлове и пакети.“

 

Източник: DARKReading

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
16 юни 2024

CISA предупреждава за бъг в Windows, използван ...

Американската агенция за киберсигурност и инфраструктурна сигурност...
Бъдете социални
Още по темата
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
14/06/2024

Засилени киберзаплахи пред ...

Евро 2024  в Германия започва след...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!