Il Linguaggio R ha una grave falla di sicurezza (per fortuna già risolta)

Il linguaggio di programmazione open source R ha recentemente affrontato una vulnerabilità decisamente significativa.

Avatar di Andrea Maiellano

a cura di Andrea Maiellano

Author

Il linguaggio di programmazione open source R ha recentemente accusato una vulnerabilità decisamente significativa, che consentiva l'esecuzione arbitraria di codice mettendo a rischio gli utenti, in particolare gli sviluppatori e i professionisti che utilizzano R per analisi statistiche e machine learning.

La vulnerabilità, identificata come CVE-2024-27322, è stata valutata con un punteggio CVSS preliminare di 8,8 su 10, evidenziando la sua gravità.

Il CVSS (Common Vulnerability Scoring System) rappresenta le metriche per l'impatto di una vulnerabilità sfruttata correttamente.

Questa falla di sicurezza consentiva di sfruttare il linguaggio R caricando file RDS malevoli o integrando pacchetti R compromessi in progetti basati su R. Una volta eseguita questa azione, il codice dannoso contenuto nel file o nel pacchetto poteva essere attivato, permettendo di accedere ai file dell'utente, eliminare dati o eseguire altre azioni dannose.

Fortunatamente, il team di sviluppo di R ha risolto il problema con il rilascio della versione 4.4.0 di R Core, evidenziando l'importanza di aggiornare il software il prima possibile per proteggere i sistemi dagli attacchi.

L'analisi della vulnerabilità, condotta dagli esperti di sicurezza di HiddenLayer, ha rivelato che, sebbene la falla fosse complessa da sfruttare, era comunque preoccupante per le possibili conseguenze.

Gli aggressori avrebbero potuto sfruttare questa vulnerabilità per compromettere la catena di approvvigionamento del software, iniettando codice dannoso nei pacchetti R ospitati e distribuiti da CRAN.

Un punto di particolare preoccupazione era il fatto che il semplice caricamento di un pacchetto R potesse attivare il codice dannoso, dimostrando la necessità di una rapida azione correttiva da parte della comunità R.

Tuttavia, è importante sottolineare che il rischio associato alla vulnerabilità è stato mitigato con la correzione nella versione 4.4.0 di R, che ha rimosso il vettore di attacco e ha garantito una maggiore sicurezza per gli utenti del linguaggio.

In risposta alle preoccupazioni sollevate, un portavoce di CRAN ha sottolineato che il linguaggio R è gestito da un gruppo di sviluppatori altamente fidati e che le implicazioni di sicurezza sono state affrontate tempestivamente.

In conclusione, sebbene la vulnerabilità abbia rappresentato una minaccia significativa per gli utenti di R, l'intervento rapido del team di sviluppo ha contribuito a proteggere la comunità da futuri, e potenziali, attacchi.

Tuttavia, gli utenti sono comunque incoraggiati a rimanere vigili e ad applicare le patch di sicurezza per garantire la protezione continua dei propri sistemi.

Leggi altri articoli