Una vulnerabilidad crítica ha sido identificada en el lenguaje de programación R, utilizado por organizaciones en diversos sectores para aplicaciones estadísticas y gráficas. El fallo, denominado CVE-2024-27322, podría permitir a los atacantes ejecutar código arbitrario en entornos de destino a través de archivos especialmente diseñados, exponiendo a estas organizaciones a un riesgo significativo en la cadena de suministro de software.
Descripción del Problema
El problema radica en el proceso de deserialización de R, que convierte objetos codificados en formatos como JSON, XML y binario de vuelta a su forma original para ser utilizados en aplicaciones o programas. Los investigadores de HiddenLayer descubrieron una vulnerabilidad en este proceso, que podría ser explotada por atacantes mediante archivos R Data Serialization (RDS) especialmente diseñados.
Gravedad y Solución
La vulnerabilidad tiene un puntaje CVSS de 8.8 sobre 10, lo que indica un nivel de riesgo muy alto. Esta vulnerabilidad fue informada a los mantenedores de R, quienes la corrigieron en la versión 4.4.0. Sin embargo, la amenaza sigue siendo significativa para organizaciones que no han actualizado su software.
Cómo Funciona el Ataque
Los investigadores encontraron que los atacantes pueden crear archivos RDS con objetos de promesa que contienen código arbitrario. Estos archivos, cuando se cargan en un entorno R, pueden ejecutar código sin el conocimiento del usuario. Dada la popularidad de R en sectores como servicios financieros, salud y gobierno, el potencial de un ataque masivo es considerable.
Consecuencias y Recomendaciones
El riesgo de esta vulnerabilidad es particularmente alto debido a la amplitud del ecosistema R. Con más de 20,000 paquetes disponibles en el Comprehensive R Archive Network (CRAN) y más de 15,800 miembros registrados en R-Forge, un ataque exitoso podría afectar a miles de usuarios.
Para mitigar el riesgo, se recomienda que las organizaciones actualicen a la versión más reciente de R y limiten el uso de paquetes a fuentes confiables. También es importante concientizar a los usuarios sobre esta vulnerabilidad y fomentar buenas prácticas de seguridad para evitar la carga de archivos o paquetes no confiables.
Conclusión
La vulnerabilidad CVE-2024-27322 en R destaca la importancia de mantener el software actualizado y ser cauteloso con archivos y paquetes de fuentes desconocidas. Las organizaciones que dependen de R para análisis estadísticos y otras aplicaciones deben tomar medidas inmediatas para protegerse contra posibles ataques a través de la cadena de suministro de software.