R: Arbitrary Code Execution Sicherheitslücke ermöglicht Phishing

Kürzlich wurde eine kritische Sicherheitslücke, die die Ausführung beliebiger Befehle nach der Deserialisierung nicht vertrauenswürdiger Daten in der Programmiersprache R ermöglicht, bekannt. Die Schwachstelle CVE-2024-27322 betrifft den Umgang mit .rds- und .rdx-Dateien in R, einem Format für die Daten-Serialisierung.
R ermöglicht die Serialisierung von Daten, d.h., Objekte und Daten aus einer R-Sitzung können in einem Format gespeichert und später wieder in einer anderen Sitzung deserialisiert werden. Die hierbei verwendeten .rds-Dateien speichern einzelne R-Objekte, während .rdx-Dateien, zusammen mit .rdb-Dateien, zur Indizierung von Serialisierungsdaten verwendet werden.

Die Schwachstelle tritt auf, wenn die readRDS-Funktion, die zum Laden dieser Dateien verwendet wird, eine besondere Art von verzögert ausgewerteten Ausdrücken (sogenannte Promises) deserialisiert. Diese Promises sollten erst bei Bedarf innerhalb des Programms ausgewertet werden. Durch manipulierte .rds- oder .rdx-Dateien kann ein Angreifer jedoch Code einschleusen, der ausgeführt wird, sobald die entsprechende Promise-Auswertung im Programm erreicht wird.
Ein Angreifer könnte speziell präparierte .rds- oder .rdx-Dateien erstellen und über Social Engineering in Phishing Kampagnen verteilen, um auf dem Zielgerät des Opfers beliebige Befehle auszuführen.

Projekte, die readRDS für nicht vertrauenswürdige Dateien verwenden, sind ebenfalls gefährdet. Der schädliche Code in den Dateien könnte auch dazu genutzt werden, um auf benachbarte Ressourcen wie andere Computer, Geräte in einem Cluster oder gemeinsam genutzte Dokumente und Ordner zuzugreifen.
Das R-Projekt hat auf diese Sicherheitslücke reagiert und die R Core Version 4.4.0 bereitgestellt, welche die Handhabung von Promises in Serialisierungsströmen einschränkt und somit die Schwachstelle adressiert. Nutzer werden dringend aufgefordert, dieses Update so schnell wie möglich zu installieren.

Zusätzlich wird empfohlen, den Umgang mit .rds-, .rdb- und .rdx-Dateien von nicht vertrauenswürdigen oder drittanbieter Quellen in Containern oder in einer Sandbox-Umgebung durchzuführen, um unerwarteten Zugriff auf Ressourcen zu verhindern.
Die Entdeckung dieser Schwachstelle geht auf Kasimir Schulz und Kieran Evans von HiddenLayer zurück. Weitere Informationen zur Schwachstelle und zum Update sind auf der Seite von HiddenLayer verfügbar.

Related Posts

OpenShift: Root-Node Zugriff und Denial of Service möglich

Red Hat hat am 25. April 2024 ein wichtiges Sicherheits- und Bugfix-Update für die OpenShift Container Platform Version 4.15.10 veröffentlicht. Dieses Update beinhaltet wichtige Sicherheitskorrekturen sowie Verbesserungen und Fehlerbehebungen für die Plattform.

Read More

Hirschmann HiOS für Industrial Switche: kritische Schwachstelle

In einer kritischen Sicherheitsmitteilung vom 28. April 2024 hat Belden eine erhebliche Schwachstelle in ihrem Hirschmann HiOS, dem Betriebssystem der Hirschmann Industrial Switches, bekanntgegeben. Diese Schwachstelle wurde unter der Identifikationsnummer WID-SEC-2024-0981 registriert und weist einen CVSS-Basiswert von 9,8 auf, was auf ein kritisches Risiko hinweist.

Read More

ArcaneDoor: Neue Spionagekampagne zielt auf Cisco Netzwerkgeräte

Eine neue Spionagekampagne, bekannt unter dem Namen ArcaneDoor, zielt gezielt auf Peripherie-Netzwerkgeräte von Cisco, sowie deren Adaptive Security Appliance and Firepower Threat Defense Software und VPN Client AnyConnect ab. Diese Kampagne wurde von Cisco Talos aufgedeckt und ist das jüngste Beispiel für staatlich gesponserte Akteure, die solche Geräte als Einstiegspunkte für Spionageaktionen nutzen.

Read More