Los mantenedores del paquete PHP Composer anunciaron el lanzamiento de una actualización que corregirá CVE-2021-29472, una vulnerabilidad que permitiría a los actores de amenazas ejecutar comandos arbitrarios y establecer un backdoor en cada paquete PHP.
Acorde a expertos en ciberseguridad, Composer es la herramienta más popular para la administración e instalación de dependencias de software, empleando el servicio Packagist para determinar cuál es la cadena de suministro correcta para realizar descargas de paquetes. Las más recientes estimaciones calculan que Packagist atiende casi mil 500 millones de solicitudes de descarga al mes.
Todo indica que la falla existe debido a la desinfección incorrecta de las URL de los repositorios en los archivos composer.json y las URL de descarga de la fuente del paquete que podrían ser interpretadas como opciones para los comandos del sistema ejecutados por Composer.
La vulnerabilidad de inyección de comando fue descubierta por investigadores de SonarSource, quienes advierten que su falla podría haber sido potencialmente explotada para realizar un ataque de cadena de suministro similar al de SolarWinds.
Thomas Chauchefoin, de SonarSource, publicó una alerta mencionando: “Actualice Composer a v2.0.13 o v1.10.22 de inmediato; las nuevas versiones incluyen correcciones para una vulnerabilidad de inyección de comandos identificada como CVE-2021-29472.”
Los investigadores detallaron el descubrimiento de la falla crítica en Packagist: “La explotación de esta falla nos permitió realizar ataques de ejecución de comandos arbitrarios en el servidor Packagist.org; este servidor atiende más de 100 millones de solicitudes de metadatos cada mes, por lo que esta falla podría tener un impacto crítico en escenarios reales”, agregan los expertos. La vulnerabilidad fue reportada el 22 de abril y los mantenedores anunciaron su corrección en menos de 12 horas.
Según el reporte, la falla podría haber sido introducida en 2011: “Por sí misma la falla no permite la ejecución de comandos arbitrarios; la inyección de parámetros se ha corregido al separar los argumentos de comando posicionales de las opciones con el separador – siempre que sea posible”.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).