Ένα νέο ελάττωμα στη γλώσσα προγραμματισμού R, επιτρέπει την αυθαίρετη εκτέλεση κώδικα κατά την αποσειροποίηση των ειδικά δημιουργημένων αρχείων RDS και RDX.

Δείτε επίσης: Οι 20 πιο δημοφιλείς γλώσσες προγραμματισμού για το 2023

Η R είναι μια γλώσσα προγραμματισμού ανοιχτού κώδικα που είναι ιδιαίτερα δημοφιλής στους στατιστικολόγους και τους εξορύκτες δεδομένων που αναπτύσσουν και χρησιμοποιούν προσαρμοσμένα μοντέλα ανάλυσης δεδομένων, ενώ παρατηρείται επίσης αυξημένη υιοθέτηση από τον αναδυόμενο τομέα AI/ML.

Ερευνητές στο HiddenLayer ανακάλυψαν πρόσφατα ένα ελάττωμα στη γλώσσα R, που παρακολουθείται ως CVE-2024-27322 (CVSS v3: 8.8), το οποίο επιτρέπει στους εισβολείς να εκτελούν αυθαίρετο κώδικα σε μηχανήματα στόχων, όταν το θύμα ανοίγει αρχεία R Data Serialization (RDS) ή πακέτο αρχείων R (RDX).

Το ελάττωμα εκμεταλλεύεται τον τρόπο με τον οποίο η γλώσσα R χειρίζεται τη σειριοποίηση (‘saveRDS‘) και το deserialization (‘readRDS‘), ιδιαίτερα μέσω αντικειμένων υπόσχεσης και “lazy evaluation“.

Οι εισβολείς μπορούν να ενσωματώσουν αντικείμενα υπόσχεσης με αυθαίρετο κώδικα στα μεταδεδομένα του αρχείου RDS με τη μορφή εκφράσεων, οι οποίες αξιολογούνται κατά την αποσειριοποίηση, με αποτέλεσμα την εκτέλεση του κώδικα. Το θύμα πρέπει να πειστεί ή να εξαπατηθεί για να εκτελέσει αυτά τα αρχεία, επομένως η επίθεση περιλαμβάνει ένα στοιχείο social engineering.

Δείτε ακόμα: Windows Fibers: Εκμεταλλεύονται από hackers για εκτέλεση κώδικα

Ωστόσο, οι εισβολείς μπορούν να επιλέξουν μια πιο παθητική προσέγγιση, διανέμοντας τα πακέτα σε ευρέως χρησιμοποιούμενα αποθετήρια και περιμένοντας τα θύματα

να τα κατεβάσουν.

Η HiddenLayer εξηγεί ότι το CVE-2024-27322 έχει εκτεταμένες επιπτώσεις λόγω της εκτεταμένης χρήσης του σε κρίσιμους τομείς και του μεγάλου αριθμού πακέτων που αναπτύσσονται σε περιβάλλοντα ανάλυσης δεδομένων χωρίς επαρκείς ελέγχους.

Το CERT/CC έχει εκδώσει μια ειδοποίηση σχετικά με το ελάττωμα, για να προειδοποιεί έργα και οργανισμούς που χρησιμοποιούν τη γλώσσα R και τη λειτουργία readRDS σε μη επαληθευμένα πακέτα, για την ανάγκη ενημέρωσης στην έκδοση 4.4.0 του R Core, η οποία απευθύνεται στο CVE-2024-27322.

Το R Core v4.4.0, που κυκλοφόρησε στις 24 Απριλίου 2024, εισάγει περιορισμούς στη χρήση υποσχέσεων στη ροή σειριοποίησης, αποτρέποντας την αυθαίρετη εκτέλεση κώδικα.

Δείτε επίσης: Ευπάθεια στο Kubernetes επιτρέπει την απομακρυσμένη εκτέλεση κώδικα σε Windows

Οργανισμοί που χρησιμοποιούν τη γλώσσα προγραμματισμού R και δεν μπορούν να αναβαθμίσουν αμέσως ή θέλουν να εφαρμόσουν πρόσθετα επίπεδα ασφαλείας θα πρέπει να εκτελούν αρχεία RDS/RDX σε απομονωμένα περιβάλλοντα, όπως sandboxes και κοντέινερ, για να αποτρέψουν την εκμετάλλευση του ελαττώματος στο υποκείμενο σύστημα.

Πηγή: bleepingcomputer