Vulnerabilità nel linguaggio di programmazione R, a rischio la supply chain

Il linguaggio di programmazione R, ampiamente utilizzato per l’analisi statistica e la manipolazione di grandi set di dati, ha recentemente riscontrato una nuova vulnerabilità. Questa scoperta solleva preoccupazioni significative per la sicurezza dei dati e l’integrità delle analisi effettuate con questo strumento.

Cosa è R

R è un linguaggio di programmazione open source che trova larga applicazione negli ambiti scientifici e statistici, particolarmente quando si tratta di analizzare grandi quantità di dati. La sua flessibilità e la vasta gamma di pacchetti disponibili lo rendono uno strumento indispensabile per molti ricercatori e analisti di dati.

La vulnerabilità

La vulnerabilità, recentemente identificata in R dalla società di sicurezza HiddenLayer, potrebbe permettere a malintenzionati di eseguire codice arbitrario attraverso la manipolazione di dati o script malevoli. Alla falla è stato assegnato l’identificatore CVE-2024-27322 (punteggio CVSS: 8,8). Un attacco che sfrutta questa vulnerabilità potrebbe compromettere non solo i dati analizzati ma anche i sistemi su cui R è installato.

I pacchetti R sono vulnerabili a questo exploit e possono, pertanto, essere utilizzati come parte di un attacco alla catena di fornitura tramite repository di pacchetti“, si legge nel rspporto, “Affinché un utente malintenzionato possa impossessarsi di un pacchetto R, tutto ciò che deve fare è sovrascrivere il file rdx con il file dannoso e, quando il pacchetto viene caricato, eseguirà automaticamente il codice.”.

In video viene mostrato come sfruttare un pacchetto R compromesso.

Fonte HiddenLayer

Impatto e risoluzione

L’impatto di questa vulnerabilità è potenzialmente vasto, considerando la popolarità di R nell’ambito della ricerca e dell’analisi dati. È fondamentale che gli sviluppatori e gli utenti del linguaggio R aggiornino i loro sistemi all’ultima versione disponibile, che include le patch di sicurezza necessarie per mitigare il rischio di attacchi.

Seguire le migliori pratiche

Anche lo CSIRT Italia ha rilasciato un avviso per CVE-2024-27322, sottolineando che tale vulnerabilità (che interessa le versioni precedenti alla 4.4.0 del progetto R) “qualora sfruttata, potrebbe consentire l’esecuzione di codice arbitrario sui sistemi target tramite l’apertura di file .rds o .rdx opportunamente predisposti“.

La scoperta di questa vulnerabilità nel linguaggio di programmazione R sottolinea l’importanza di mantenere i software aggiornati e di seguire le migliori pratiche di sicurezza informatica. Gli utenti di R sono invitati a monitorare le fonti ufficiali per gli aggiornamenti e a implementare le misure correttive suggerite dagli sviluppatori del linguaggio. Per ulteriori informazioni e aggiornamenti sulla vulnerabilità e su come proteggere i sistemi, si consiglia di consultare le risorse ufficiali del progetto R.

Iscriviti alla Newsletter settimanale di Computer Security News

Su Salvatore Lombardo 350 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.