Investigador de cibersegurança descobre vulnerabilidade que permite correr código indesejado em servidores

O investigador de segurança Alex Birsan encontrou uma vulnerabilidade de segurança que lhe permitiu executar código em servidores detidos pela Apple, Microsoft, PayPal e mais de 30 outras empresas. O exploit também é simples, e é algo que muitos developers de software terão de descobrir como se proteger.

O exploit aproveita um truque relativamente simples: substituir pacotes privados por públicos. Quando as empresas estão a criar programas, muitas vezes usam código-fonte aberto escrito por outras pessoas, não gastando tempo e recursos resolvendo um problema que já foi resolvido.

Estes programas publicamente disponíveis podem ser encontrados em repositórios como NPM para NodeJS, PyPi para Python e RubyGems para Ruby. No entanto, não são apenas estes repositórios que podem ser utilizados para levar a cabo o ataque.

Além destes pacotes públicos, as empresas costumam criar os seus próprios pacotes privados, que não carregam, mas sim distribuem entre os seus próprios colaboradores. Birsan descobriu que se pudesse encontrar os nomes dos pacotes privados usados pelas empresas (uma tarefa que acabou por ser muito fácil na maioria dos casos), poderia enviar o seu próprio código para um dos repositórios públicos com o mesmo nome, e os sistemas automatizados utilizaram o seu código em vez do que tentavam partilhar.