contacto@diariodigitalis.com

914 121 156

Google revela un error de seguridad en GitHub

Sin duda, GitHub es el repositorio de código más famoso en la actualidad. Permite a los desarrolladores almacenar todos los archivos de sus proyectos y facilita el proceso de programar de una manera estructurada, mostrando los resultados que genera el código en tiempo real. Sin embargo, ahora ha saltado a la palestra al hacerse público un fallo en su seguridad que puede hacerlo vulnerable frente a ataques de inyección.

Google Project Zero, equipo de analistas de seguridad de la compañía, ha sido el encargado de revelar estas vulnerabilidades en la plataforma. La misión principal de este grupo, que lleva operando desde 2014, consiste en descubrir errores en el propio Google, pero suele ser más conocido por hacer públicas las vulnerabilidades de otras empresas. Recientemente, desvelaron un fallo en Windows 10 que podía permitir a los hackers tomar el control de las computadoras de los usuarios.

En esta ocasión, han hecho público un error, calificado como “muy grave”, relacionado con los comandos de flujo de trabajo (workflow), cuya función es la de actuar como un canal de comunicación entre las acciones ejecutadas y el ejecutor de acciones.

Felix Wilhelm, ingeniero senior de seguridad de la información de Google, afirma en un informe de Project Zero que la mayoría de los proyectos alojados en GitHub son susceptibles de ataques informáticos: “El gran problema con esta función es que es muy vulnerable a los ataques de inyección. A medida que el proceso de ejecución analiza cada línea impresa en STDOUT en busca de comandos de flujo de trabajo, cada acción de Github que imprime contenido que no es de confianza como parte de su ejecución es vulnerable. En la mayoría de los casos, la capacidad de establecer variables de entorno arbitrarias da como resultado la ejecución remota de código tan pronto como se ejecuta otro flujo de trabajo. He pasado algún tiempo mirando repositorios populares de Github y casi cualquier proyecto con acciones de Github algo complejas es vulnerable a esta clase de error «.

El error persiste tras más de 90 días

Generalmente, el modus operandi de Google Project Zero es siempre el mismo: identifica un fallo de seguridad en el software de una empresa y, posteriormente, se lo notifica a esta de manera privada, otorgándole un periodo de 90 días para arreglarlo, aunque en algunos casos conceden días adicionales. Si la empresa no es capaz de solucionarlo antes de la fecha límite, Google hará público el error con todas las consecuencias que esto implica para la reputación y la credibilidad de la compañía afectada.

Todo comenzó el 21 de julio, cuando el equipo de analistas de seguridad se puso en contacto con GitHub para informarles del error que habían descubierto. Como ya hemos mencionado, le dieron un ultimátum de 90 días para solucionar el problema, estableciendo el 18 de octubre como fecha límite. A principios de octubre, GitHub informó a sus usuarios sobre una “vulnerabilidad de seguridad moderada” -no grave, como había dicho Google- y deshabilitaron los comandos vulnerables a ataques informáticos.

El 12 de octubre, Google Project Zero se puso en contacto con la empresa de Nat Friedman y le ofreció un periodo de 14 días adicionales con la intención, según Wilhelm, de que deshabilitasen los comandos vulnerables y solucionasen el error después del 19 de octubre, estableciendo como tope el 2 de noviembre.

Un día antes de que se le agotara el tiempo, el 1 de noviembre, Github pidió 48 horas más para informar a sus usuarios sobre el problema, pero no para arreglarlo como habían convenido. La intención de GitHub era la de acordar otra fecha definitiva para arreglar la vulnerabilidad, sin embargo, Google rechazó su propuesta y, cumpliendo con su palabra, acabo revelando públicamente este problema de seguridad.

Imagen de Elchinator en Pixabay

Artículos Relacionados

Suscríbete a nuestra newsletter


(Obligatorio)

También te puede gustar

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Suscríbete a nuestra newsletter