El año pasado, empleados de Google tomaron la iniciativa de ayudar a miles de proyectos de código fuente para reparar vulnerabilidades críticas de ejecución remota de código en la biblioteca ampliamente usada Apache Commons Collections (ACC).

Llamada Operation Rosehub, la iniciativa fue voluntariada por 50 empleados de Google quienes utilizaron 20% de su tiempo laboral para parchar más de 2,600 proyectos de código abierto en Github, los cuales eran vulnerables a Mad Gadget.

La vulnerabilidad Mad Gadget (CVE-2015-6420) es un fallo de ejecución remota de código en la deserialización de Java que se emplea por la biblioteca de Apache Common Collectors (ACC) que puede permitir a un atacante remoto no autenticado ejecutar código arbitrario en el sistema.

La biblioteca ACC es ampliamente empleada por muchas aplicaciones Java para decodificar datos pasados entre computadoras. Para explotar este fallo, todos los atacantes no autorizados necesitan hacerlo enviando una entrada maliciosa manufacturada a la aplicación de un sistema objetivo que use la biblioteca ACC.

El año pasado un ransomware afectó el sistema de la Agencia de Transporte Municipal de San Francisco. El atacante anónimo logró infectar y tomar más de 2,000 computadoras usando esta misma falla Mad Gadget en el software utilizado para operar el sistema de transporte público de San Francisco.

Seguido del descubrimiento público del fallo Mad Gadget, casi cada empresa comercial, incluyendo a Oracle, Cisco, Red Hat, VMWare, IBM, Intel, Adobe, HP, Jenkins y Solar Winds, formalmente publicaron que han sido afectados por esta vulnerabilidad y que parcharon su software.

Sin embargo, pocos meses después de que todas las grandes empresas repararan el fallo, uno de los empleados de Google notificó que varias bibliotecas importantes de código abierto eran aún dependientes de la versión vulnerable de la biblioteca ACC.

“Reconocemos que las mejores prácticas de la industria han fallado. La acción era necesaria para mantener segura a la comunidad del código abierto. Así que en lugar de simplemente publicar un aviso de seguridad pidiendo a todos hacer frente a la vulnerabilidad, formamos un grupo de trabajo para actualizar el código por ellos. La iniciativa fue llamada Operation Rosehub”, escribió Justine Tunney, ingeniera de software para TensorFlow, en una entrada para el Google Open Source Blog.

Bajo Operation Rosehub, las soluciones fueron enviadas a muchos proyectos de código abierto, sin embargo, los empleados de Google solo fueron capaces de reparar proyectos de Github que estaban directamente referenciados a la versión vulnerable de ACC.

De acuerdo con el Open Source Blog, si los sistemas de software de Municipal Transportation Agency de San Francisco han sido de código abierto, los ingenieros de Google también pudieron haber sido capaces de entregar parches para Mad Gadget a ellos y sus sistemas nunca hubieran sido comprometidos.