Global Preloader
Vulnerabilidad
(06/Jun/2018) Vulnerabilidad crítica en librerías de proyectos importantes

Vulnerabilidad crítica en librerías de proyectos importantes

La vulnerabilidad Zip Slip fue descubierta por los investigadores de seguridad de Snyk. Dicha vulnerabilidad afecta a los proyectos que se han construido con la reutilización código mediante librerías.

Este fallo de seguridad se encuentra en una gran cantidad de librerías utilizadas en proyectos escritos con lenguajes de programación como JavaScript, Ruby, Java, .NET, Go y desarrollados por grandes compañías como Google, Oracle, IBM, Apache, Amazon, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch y JetBrains; entre otros.

Zip Slip permite sobrescribir cualquier archivo a través de un directorio al extraer archivos de formatos .tar, .jar, .war, .cpio, .apk, rar, .7z, entre otros.

Esta vulnerabilidad permite que un atacante pueda acceder a partes del sistema de archivos que residen fuera de su carpeta de destino. El atacante puede sobrescribir archivos ejecutables y lograr la ejecución del comando remoto en el equipo infectado cuando se ejecutan estos archivos. La falla también puede ser objeto de abuso para sobrescribir los archivos de configuración u otros recursos sensibles. La forma de explotar este fallo de seguridad no es complicada, y simplemente se debe utilizar un exploit que, cuando se intente extraer el contenido de un archivo comprimido, se encargue de suplantar uno de los archivos extraídos por otro archivo modificado con el código malicioso para ejecutarlo en la memoria

Aunque Zip Slip ha existido  ya desde varios años, no había sido explotada hasta ahora que se ha dado a conocer y a pesar de que algunas compañías fueron declaradas no vulnerables, ya han solucionado esta vulnerabilidad.