Podatność w języku R umożliwiająca wykonywanie arbitralnego kodu

Według raportu serwisu The Hacker News, przestępcy mogli wykorzystać wysokoogiełową podatność wpływającą na język programowania R, oznaczaną jako CVE-2024-27322, w celu uruchomienia arbitralnego kodu podczas deserializacji pakietów za pomocą formatu RDS. Działanie to mogło umożliwić ataki na łańcuchy dostaw. Badacze z HiddenLayer wskazali, że „dla atakującego, aby przejąć pakiet R, wystarczy nadpisać plik rdx szkodliwie spreparowanym plikiem, a gdy pakiet zostanie załadowany, kod zostanie automatycznie wykonany”. Podatność ta, która została już rozwiązana w zeszłym tygodniu, skłoniła Centrum Koordynacji CERT do wydania zalecenia dotyczącego możliwości wdrożenia plików RDS i RDX umożliwiających wykonywanie arbitralnego kodu za pomocą taktyk inżynierii społecznej. „Projekty, które korzystają z funkcji readRDS na niezaufanych plikach, są również podatne na ten atak” – dodaje CERT/CC.