ISGroup Consultoría de Ciberseguridad

CVE-2025-10157: Control incompleto de globales en picklescan permite bypass de escaneo de seguridad y ejecución arbitraria de código

Productopicklescan
Fecha2025-12-04 12:36:15

picklescan es una herramienta de seguridad de código abierto diseñada para escanear archivos pickle de Python en busca de contenido malicioso conocido antes de que sean deserializados. Los archivos pickle son un formato común para la serialización y el almacenamiento de objetos de Python, utilizados ampliamente en flujos de trabajo de Machine Learning (ML) y MLOps para guardar y transferir modelos entrenados, como los de la biblioteca PyTorch. Debido a los peligros inherentes del formato pickle, que puede ejecutar código arbitrario durante la carga, herramientas como picklescan se implementan a menudo como un control de seguridad crítico.

Esta vulnerabilidad anula completamente la función protectora de la herramienta, creando una peligrosa falsa sensación de seguridad. Cualquier organización que utilice picklescan para sanear archivos no confiables está en alto riesgo. Un exploit exitoso permite a un atacante obtener la ejecución arbitraria de código en el sistema que procesa el archivo, lo que potencialmente conduce a la vulneración de datos sensibles, el robo de propiedad intelectual como modelos de ML propietarios, o movimientos laterales en la red. Aunque no hay evidencia de explotaciones activas conocidas, existe un proof-of-concept público y el ataque es trivial de ejecutar para un adversario experimentado.

Resumen técnico

La vulnerabilidad es un CWE-693: Fallo del Mecanismo de Protección y tiene su origen en el control incompleto del escáner sobre los módulos y globales peligrosos dentro de un archivo pickle. El núcleo del fallo reside en el método utilizado para identificar módulos maliciosos; el escáner realiza una comparación exacta de cadenas con una lista de exclusión (denylist) de módulos de primer nivel conocidos como peligrosos (ej. os, sys, asyncio).

El escáner no verifica recursivamente la presencia de submódulos potencialmente peligrosos. Un atacante puede crear un archivo pickle que invoque una función proveniente de un submódulo de un módulo excluido, por ejemplo, asyncio.unix_events. Dado que picklescan solo comprueba la cadena exacta “asyncio”, la importación de su submódulo pasa desapercibida y el archivo se marca erróneamente como seguro.

La cadena de ataque es la siguiente:

  1. Un atacante crea un archivo pickle malicioso que ejecuta código a través de un submódulo de un módulo de alto nivel conocido como peligroso.
  2. El archivo se somete a una aplicación o pipeline que utiliza la biblioteca vulnerable picklescan para el saneamiento.
  3. picklescan analiza el archivo pero no detecta el submódulo malicioso en su lista de exclusión, señalándolo como seguro.
  4. La aplicación, confiando en el resultado, deserializa el archivo usando pickle.load().
  5. Durante la deserialización, el intérprete de Python ejecuta el código incorporado, comprometiendo el sistema anfitrión con los privilegios de la aplicación en ejecución.

Versiones afectadas: todas las versiones de picklescan hasta la 0.0.30 incluida son vulnerables. Aún no hay una corrección disponible públicamente.

Una representación conceptual de la lógica errónea:

# Lógica Vulnerable Conceptual en picklescan
# El control falla porque "asyncio.unix_events" no está presente en el conjunto.
DANGEROUS_GLOBALS = {"os", "sys", "asyncio"}

def is_safe(module_name):
  if module_name in DANGEROUS_GLOBALS:
    return False # No verifica la presencia de submódulos
  return True

Recomendaciones

  • Parcheo Inmediato: Aún no se ha lanzado una versión corregida. Monitoree el repositorio del proyecto picklescan para obtener actualizaciones y actualice a una versión posterior a la 0.0.30 tan pronto como esté disponible.
  • Mitigaciones: La mitigación principal es adherirse al principio fundamental de seguridad de nunca deserializar archivos pickle provenientes de fuentes no confiables o no autenticadas, independientemente de los resultados del escaneo. Si la deserialización de archivos pickle externos es necesaria por motivos de negocio, asegúrese de que ocurra en un entorno fuertemente aislado y en sandbox (ej. un contenedor minimalista sin acceso a la red y con permisos de solo lectura al sistema de archivos).
  • Investigación y Monitoreo:
    • Inventariar todas las aplicaciones internas, los pipelines de compilación y los entornos MLOps para detectar cualquier uso de la biblioteca picklescan.
    • Verificar los códigos fuente para todas las instancias de pickle.load() y pickle.loads() que procesan archivos provenientes de fuentes externas. Tratar todos los archivos previamente considerados seguros por una versión vulnerable de picklescan como potencialmente maliciosos.
    • Monitorear los sistemas que procesan archivos pickle en busca de comportamientos anómalos, como procesos hijos inesperados, conexiones de red salientes o modificaciones al sistema de archivos local.

  • Respuesta a Incidentes:

    • Si se sospecha una vulneración, aísle inmediatamente el host afectado de la red para prevenir la expansión del impacto.
    • Conserve el archivo pickle malicioso, los registros del sistema y una imagen forense de la máquina para fines de investigación.

  • Defensa en Profundidad:

    • Ejecutar todos los procesos de procesamiento de datos, especialmente aquellos que requieren deserialización, como un usuario con bajos privilegios para reducir el alcance en caso de ejecución de código.
    • Implementar un filtrado estricto del tráfico saliente en los servidores para bloquear posibles canales de comando y control (C2).
    • Evaluar el uso de formatos de serialización más seguros como JSON para el intercambio de datos con fuentes no confiables.

[Callforaction-THREAT-Footer]

In