El año pasado, varios empleados de la popular empresa tecnológica Google, tomaron una nueva iniciativa con el fin de ayudar a miles de proyectos de código abierto para reparar una vulnerabilidad crítica de ejecución remota que provenía de una librería muy utilizada por parte de las Colecciones de Apache Commons (ACC).
Bautizada como "Operación Rosehub", esta iniciativa fue llevada a cabo voluntariamente por cerca de 50 empleados de la propia firma que utilizaron el 20 por ciento de su tiempo de trabajo para parchear miles de proyectos de código abierto en Github, proyectos que eran vulnerables a la vulnerabilidad conocida como Mad Gadget. Este fallo de seguridad en realidad se trata de un error en la ejecución remota de código Java utilizado por la mencionada librería de ACC que permite a un atacante remoto no autenticado ejecutar código en el sistema afectado.
Cabe mencionar que esta librería ACC está ampliamente desplegada en un gran número de aplicaciones Java para descodificar datos intercambiados entre diferentes equipos. Por lo tanto, para explotar este fallo de seguridad, todo lo que un atacante no autorizado debe hacer es enviar un código malicioso a la aplicación ubicada en un sistema de destino que utilice la biblioteca Apache Commons de la que hemos hablado. Una vez que esta intenta descodificar este contenido con malware, el atacante podría ejecutar de forma remota parte del código en el sistema comprometido, todo ello con el fin de realizar nuevos ataques, entre otras cosas.


Quizá algunos recordéis que por medio de un ataque con ransomware, a finales del año pasado un hacker anónimo logró infectar y tomar el control de más de 2.000 equipos usando esta misma vulnerabilidad, llamada Mad Gadget, para atacar el sistema de transporte público de la ciudad de San Francisco. Tras esto casi todas las empresas incluyendo a Oracle, Cisco, Red Hat, VMWare, IBM, Intel, Adobe, HP, Jenkins o SolarWinds, revelaron que habían sido afectadas por esta vulnerabilidad y la corrigieron.
Google es una firma comprometida con la seguridad
Sin embargo, pocos meses después de que estas grandes empresas corrigieran el fallo, uno de los empleados de Google notó que varias bibliotecas de código abierto seguían dependiendo de las versiones vulnerables de la misma librería ACC. Por lo tanto, en lugar de simplemente publicar una solución para hacer frente a la vulnerabilidad, Google formó un grupo de trabajo para actualizar ese código, iniciativa que como hemos dicho se dio a conocer como Operación Rosehub.

           
               
                   
               
           
           
               
                    5 excelentes aplicaciones de código abierto alojadas en GitHub
               
           
       
Así los parches fueron enviados a muchos proyectos de código abierto, aunque los empleados de Google sólo pudieron arreglar aquellos proyectos de código abierto de GitHub que hacían referencia directa a las versiones vulnerables de esta librería. De hecho algunos expertos indican que si el software de la Agencia de Transporte Municipal de San Francisco hubiera sido de código abierto, los ingenieros de Google también habrían sido capaces de entregar parches para Mad Gadget y sus sistemas nunca se hubieran visto comprometidos.
El artículo Google ayuda con la seguridad de miles de proyectos de código abierto se publicó en SoftZone.