
Πώς η μηχανική μάθηση φέρνει επανάσταση στο IT Security;
29 Απριλίου, 2024
Κυβερνοεπίθεση “Muddling Meerkat” συνδέεται με την Κίνα
1 Μαΐου, 2024Μια κρίσιμη ευπάθεια ασφαλείας, το CVE-2024-27322, ανακαλύφθηκε στη γλώσσα προγραμματισμού R, που αποτελεί σημαντική απειλή για τα συστήματα των χρηστών.
Το σφάλμα αυτό, που ανακαλύφθηκε από την εταιρεία ασφαλείας AI HiddenLayer, σχετίζεται με την χρήση των δομικών στοιχείων promise objects και lazy evaluation στη γλώσσα προγραμματισμού R. Αυτό δίνει τη δυνατότητα στους hackers να εκτελούν αυθαίρετο κώδικα μέσω της απελευθέρωσης μη αξιόπιστων αρχείων RDS (R Data Serialization). Το RDS, παρόμοιο με το pickle της Python, χρησιμοποιείται για την αποθήκευση δεδομένων ή αντικειμένων στο πρόγραμμα R.
Η ευπάθεια πηγάζει από ένα ελάττωμα στη διαδικασία αποσειριοποίησης, δίνοντας τη δυνατότητα σε hackers να εκτελέσουν κώδικα αυτόματα με τη φόρτωση ενός μολυσμένου πακέτου της γλώσσας R. Μέσω της δημιουργίας ενός κακόβουλου αρχείου RDS το οποίο περιλαμβάνει μια εντολή υπόσχεσης με αυθαίρετο κώδικα, οι δράστες μπορούν να πυροδοτήσουν την εκτέλεση κώδικα κατά την πρόσβαση στο εν λόγω αρχείο. Η εκμετάλλευση αυτή μπορεί να γίνει όπλο μέσω επιθέσεων στην αλυσίδα εφοδιασμού, επειδή τα πακέτα της γλώσσας R χρησιμοποιούν τη μορφή RDS για την αποθήκευση και ανάκτηση δεδομένων. Για την επίθεση, αρκεί ο hacker να αντικαταστήσει ένα νόμιμο αρχείο RDS με ένα κακόβουλο, κερδίζοντας έτσι τον έλεγχο του πακέτου και ενεργοποιώντας την εκτέλεση κώδικα κατά τη διάρκεια της φόρτωσής του.

Για την αντιμετώπιση του συγκεκριμένου κινδύνου, η έκδοση 4.4.0 της γλώσσας προγραμματισμού R, που κυκλοφόρησε στις 24 Απριλίου 2024, επιλύει το εν λόγω ελάττωμα ασφαλείας. Η συγκεκριμένη επιδιόρθωση αποτελεί μια προληπτική κίνηση καθώς αποτρέπει την εκτέλεση αυθαίρετου κώδικα, μέσω της σωστής διαχείρισης των αντικειμένων κατά τη διαδικασία αποσειριοποίησης. Είναι σημαντικό οι χρήστες να ενημερώσουν άμεσα τις εγκαταστάσεις τους, εξασφαλίζοντας έτσι την προστασία τους από ενδεχόμενες εκμεταλλεύσεις.