Yönetişim ve Risk Yönetimi, Yama Yönetimi
Seriden Çıkarma Güvenlik Açığı Uzaktan Kod Yürütülmesine İzin Veriyor
Akşaya Asokan (asokan_akshaya) •
2 Mayıs 2024
Bir seri durumdan çıkarma kusurunu ortaya çıkardıklarını söyleyen güvenlik araştırmacıları, R istatistik programlama dilindeki yüksek riskli bir kusurun tedarik zinciri hacklenmesine yol açabileceği konusunda uyardı.
Ayrıca bakınız: Proaktif Maruz Kalma Yönetimiyle Siber Güvenliği Dönüştürün
Veri bilimcileri arasında popüler olan ve kâr amacı gütmeyen bir dil olan R Vakfı, 24 Nisan’da kusur için CVE-2024-27322 olarak izlenen bir yama yayınladı.
Pazartesi günü bu güvenlik açığını detaylandıran bir araştırma yayınlayan HiddenLayer’ın baş güvenlik araştırmacısı Kasimir Schulz, Information Security Media Group’a herhangi bir saldırı bildirilmediğini ve araştırmacıların “kimse onu tehlikeye atmadan yetişebildiklerini” söyledi. Yazılım Mühendisliği Enstitüsü kusurla ilgili bir uyarı yayınladı.
Araştırmacılar, güvenlik açığının, programlamanın veriyi seri durumdan çıkarma şeklinden (yani, bir ağ üzerinden göndermek veya depolamak için sıkıştırılmış – serileştirilmiş – verileri mecazi olarak nasıl açtığından) kaynaklandığını söyledi.
Güvenlik araştırmacıları, bilgisayar korsanlarının, seri durumdan çıkarma işlemini gerçekleştiren bilgisayarın, meşru verilerin bir parçası olduğu varsayılan talimatları uygulayacağı beklentisiyle, seri hale getirilmiş verilere gizlice kötü amaçlı kod sızdırdığını uzun zamandır biliyor. Geliştiriciler seri durumdan çıkarma girişlerini temizlemeye çalışıyor ancak Gizli Katman araştırmacıları kod yürütmeyi zorlamanın bir yolunu bulduklarını söylüyor.
Kusur, iki dosya oluşturan R veri serileştirme sürecinden kaynaklanmaktadır: .rdb veri nesnelerinin dosyası ve .rdx İlk dosyadaki serileştirilmiş her nesneyle ilişkili meta veri dosyası.
Meta veri dosyası içindeki seri durumdan çıkarma işlemi, .rdb veri için dosya. “Bir saldırganın bir R paketini ele geçirmesi için tek yapması gereken, R paketinin üzerine yazmaktır. .rdx HiddenLayer araştırmacıları, “Kötü amaçla hazırlanmış bir dosya içeren bir dosya oluşturacağız ve paket yüklendiğinde kodu otomatik olarak çalıştıracaktır” diye yazdı.
Araştırmacılar, seri durumdan çıkarma güvenlik açığına karşı savunmasız olan readRDS serileştirme arayüzünü kullanan 135.000’den fazla R kaynak dosyası tespit etti. Hidden Layer, kaynak dosyalardan bazılarının “R Studio, Facebook, Google, Microsoft, AWS ve diğer büyük yazılım satıcılarının projelerini içerdiğini” söyledi.