Se insta a empresas y gobiernos a tomar medidas frente a los ataques a la cadena de suministro de Trojan Source

Se ha instado a las empresas y los gobiernos a tomar medidas para protegerse contra los ataques de piratería que son capaces de inyectar puertas traseras invisibles en el código fuente de los lenguajes de programación ampliamente utilizados.

Los piratas informáticos o los estados hostiles pueden utilizar los ataques de Trojan Source para lanzar poderosos ataques contra las cadenas de suministro de software mediante el depósito de código manipulado en bibliotecas y repositorios de software como GitHub.

La técnica de piratería, revelada hoy por investigadores de la Universidad de Cambridge, puede ser utilizada por atacantes hostiles para insertar puertas traseras en el código fuente en casi todos los lenguajes informáticos.

Los ataques aprovechan los caracteres de control estándar para insertar en secreto código malicioso en el código fuente, lo que parece inofensivo para los humanos que revisan el código en busca de posibles riesgos de seguridad.

Nicholas Boucher y Ross Anderson del Laboratorio de Ciencias de la Computación de la Universidad de Cambridge demostraron que C, C ++, JavaScript, Java, Rust, Go y Python son vulnerables a los ataques de Trojan Source.

Advirtieron en un artículo de investigación publicado hoy (1 de noviembre) que los mismos ataques podrían aplicarse a casi cualquier lenguaje de programación que utilice compiladores de software comunes que utilizan Unicode, el estándar internacional para codificar texto y scripts.

Los investigadores de Cambridge han pasado los últimos tres meses coordinando un complejo programa de divulgación para permitir que los proveedores de herramientas de software, como compiladores, intérpretes, editores de código y repositorios de código, establezcan defensas.

La mitad de las organizaciones contactadas por los investigadores durante el proceso de divulgación están trabajando en parches o se han comprometido a hacerlo, pero otras, dicen los investigadores, están “arrastrando los pies”.

Anderson dijo que es probable que los delincuentes utilicen el “truco de la fuente troyana” contra algunos compiladores que no han sido parcheados para propagar las vulnerabilidades del software.

“Recomendamos que los gobiernos y las empresas que dependen de software crítico identifiquen la postura de sus proveedores, ejerzan presión sobre ellos para que implementen las defensas adecuadas y se aseguren de que cualquier brecha esté cubierta por controles en otras partes de su cadena de herramientas”, afirman los académicos en su documento.

“Cualquier entidad cuya seguridad dependa de la integridad de las cadenas de suministro de software debería preocuparse”, advierten.

Copiar y pegar

Muchos desarrolladores están felices de copiar y pegar código fuente inseguro de fuentes en línea no oficiales. Esto hace que sea probable que los atacantes publiquen código malicioso con vulnerabilidades invisibles con la esperanza de que terminen en el código de producción.

Hay un incentivo financiero para que lo hagan, argumentan los investigadores, ya que existe un mercado lucrativo para las vulnerabilidades de seguridad que puede obtener sumas de siete cifras por las más valiosas.

Los atacantes malintencionados tienen un fuerte incentivo para utilizar los ataques de Trojan Source para agregar maliciosamente puertas traseras en el código autenticado que persistirá en la naturaleza durante mucho tiempo.

Atacar componentes de software de código abierto que son utilizados por muchas otras aplicaciones de software significaría que cualquier ataque tendrá “un gran radio de alcance”.

Las vulnerabilidades serían difíciles o imposibles de detectar por los especialistas en seguridad que revisan el código fuente sin compilar.

“Los ataques de Trojan Source introducen la posibilidad de insertar tales vulnerabilidades en el código fuente de manera invisible, evitando así por completo el control principal actual contra ellas, es decir, la revisión del código fuente humano”, dijeron los investigadores.

Ataques a la cadena de suministro

Los ataques a la cadena de suministro han atraído la atención urgente de los gobiernos, incluido el de EE. UU., Que emitió una orden ejecutiva para mejorar la seguridad de la cadena de suministro de software en mayo de 2021.

En uno de los ataques a la cadena de suministro más grandes, según reveló FireEye en diciembre de 2020, los piratas informáticos estatales atacaron con éxito SolarWinds Orion, una plataforma de monitoreo del rendimiento de TI ampliamente utilizada, para atacar a gobiernos y empresas de todo el mundo.

Según la investigación de la Universidad de Cambridge, una vez publicada, es probable que las vulnerabilidades de la cadena de suministro persistan en el ecosistema afectado incluso si los parches se publican posteriormente.

Personajes de bidi control

Los ataques de Trojan Source explotan los caracteres de control bidireccionales utilizados en Unicode, que se utilizan para cambiar entre los idiomas escritos de izquierda a derecha, como el inglés, y los que se escriben de derecha a izquierda, como el árabe o el hebreo.

Los atacantes pueden usar los caracteres de control, conocidos como caracteres de anulación de Bidi, para insertar código malicioso en el código fuente que parecerá poco sospechoso para un revisor humano.

El código malicioso puede estar oculto en comentarios o cadenas de caracteres en el código fuente del programa. “Cualquier desarrollador que copie código de una fuente que no sea de confianza en una base de código protegida puede introducir inadvertidamente una vulnerabilidad invisible”, advierten los investigadores.

Existe una necesidad “inmediata” de que las organizaciones construyan defensas en sus repositorios de código y editores de texto utilizados para escribir código, dijeron los autores.

Una forma de hacer esto es escanear el código para detectar la presencia de caracteres de anulación de Bidi.

Los investigadores encontraron alguna evidencia de que ya se habían explotado técnicas similares a los ataques Trojan Source, aunque no se han descubierto ataques maliciosos.

A largo plazo, el uso de ataques Unicode contra Natural Language Systems será un problema mayor, dijo Anderson.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales