El 4 de noviembre de 2021 los investigadores de la Universidad de Cambridge, Reino Unido, Nicholas Boucher y Ross Anderson, han descubierto dos vulnerabilidades críticas que afectan a la mayoría de los compiladores de código y a muchos entornos de desarrollo de software, pudiendo utilizarse para ocultar códigos maliciosos en los softwares. Los identificadores de las vulnerabilidades son CVE-2021-42574 y CVE-2021-42694.

Con el exploit, un atacante podría enviar a las máquinas un código diferente al que se pretendía originalmente, anulando las instrucciones de un programa. El ataque consiste en utilizar los caracteres de control incrustados en los comentarios y las cadenas para reordenar los caracteres del código fuente, de forma que cambie su lógica.

Los productos afectados son:

• Los compiladores de código desarrollados para los lenguajes: C, C++, C#, JavaScript, Java.

• Estándar de codificación Unicode, hasta la versión 14.0, Rust, versiones desde 1.0.0 hasta 1.56.0, Go, Python.

Recomendaciones:

• Mitigar los controles que se pueden implementar en editores, repositorios, y crear canalizaciones mientras se actualizan los compiladores para bloquear estos ataques. Comprobar periódicamente que los siguientes codepoints no están presentes en repositorios o dependencias: U+202A, U+202B, U+202C, U+202D, U+202E, U+2066, U+2067, U+2068 o U+2069.
• Actualizar el lenguaje de programación Rust a la versión 1.56.1.

Referencias:

• https://actualidad.rt.com/actualidad/409203-identificada-vulnerabilidad-afectar-casi-todo
• https://es.gizmodo.com/el-recien-descubierto-trojan-source-permite-hackear-pra-1847981973
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/trojan-source- vulnerabilidades-unicode-afectan-compiladores
• https://www.trojansource.codes/trojan-source.pdf
• https://cve.etecsa.cu/cve
• https://www.cvedetails.com/