Los investigadores de seguridad han descubierto una falla de red crítica, registrada como CVE-2021-28918, en la máscara de red npm, comúnmente utilizada por miles de aplicaciones para analizar direcciones IPv4 y bloques CIDR (método utilizado para distribuir direcciones IP y hacer enrutamiento) o compararlos. .
La biblioteca de máscara de red npm generalmente registra más de 3 millones de descargas semanales y, durante su vida útil, ha alcanzado más de 238 millones de descargas completas. Además, casi 278 mil repositorios de GitHub dependen de la máscara de red. Debido a la falla de la validación de entrada inapropiada, la máscara de red identifica una IP diferente y esta falla puede permitir que los piratas informáticos puedan falsificar la solicitud del lado del servidor (SSRF) en aplicaciones posteriores.
Los investigadores de seguridad Victor Viale, Sick Codes, Nick Sahler, Kelly Kaoudis y John Jackson fueron los responsables de rastrear la vulnerabilidad en la popular biblioteca de máscaras de red. La falla se detectó inicialmente cuando estaban diseñando un parche para una falla SSRF crítica separada (CVE-2020-28360) en el paquete de IP privada descendente, que ayuda a evitar que las direcciones IP personales se comuniquen con los recursos internos de una aplicación.
Los investigadores de seguridad descubrieron por primera vez la falla el 16 de marzo y aconsejaron a los desarrolladores que usaran el lenguaje de programación node.js para examinar sus diseños para el uso de la máscara de red y actualizarlos inmediatamente si identifican el paquete en uso.
Olivier Poitrey, desarrollador de máscaras de red y director de ingeniería de Netflix, ha lanzado una serie de parches para el error en GitHub. Con agencias de noticias internacionales.
Fuente: https://www.cisoadvisor.com.br/278-mil-repositorios-github-foram-afetados-por-falha-critica-de-rede-dizem-analistas/?rand=59052
