Gli sviluppatori che lavorano con il linguaggio Rust e i responsabili IT che gestiscono applicazioni basate su questa tecnologia si trovano di fronte a una minaccia seria che richiede attenzione immediata. Un difetto critico nella gestione dei file di archivio potrebbe spalancare le porte a intrusioni informatiche capaci di compromettere interi sistemi. La scoperta, effettuata dai ricercatori della società Edera, mette in luce come anche linguaggi considerati sicuri per definizione possano nascondere insidie inaspettate.
La vulnerabilità che colpisce un ecosistema intero
Il bug, denominato TARmageddon e identificato come CVE-2025-62518, si annida nella libreria async-tar di Rust e in numerose sue versioni derivate, tra cui la popolarissima tokio-tar. Con un punteggio di gravità di 8,1 su una scala fino a 10, questa falla può aprire scenari inquietanti: dall'esecuzione remota di codice malevolo alla manipolazione di file di configurazione critici, fino al dirottamento di processi di compilazione. "Non è possibile quantificare preventivamente il raggio d'azione completo di questo problema nell'ecosistema", avvertono i ricercatori nel loro rapporto.
Il problema tocca progetti ampiamente utilizzati come uv (il gestore di pacchetti Python di Astral), testcontainers e wasmCloud. La diffusione capillare di tokio-tar in varie forme rende particolarmente complesso mappare tutte le applicazioni potenzialmente a rischio.
Un archivio apparentemente innocuo che nasconde minacce
Per comprendere la portata del problema occorre sapere che i file TAR rappresentano uno standard consolidato nei sistemi Unix e Linux per raggruppare directory e file in un unico contenitore, mantenendo intatta la struttura originale e i metadati. Come spiega Robert Beggs, responsabile della società canadese di risposta agli incidenti DigitalDefence, questi archivi trovano impiego frequente nei backup e nella distribuzione di software.
La vulnerabilità nasce da un difetto di desincronizzazione che consente a un aggressore di "contrabbandare" elementi aggiuntivi durante l'estrazione degli archivi TAR. Il meccanismo si innesca quando vengono elaborati file TAR annidati che presentano un disallineamento specifico tra le intestazioni PAX estese e quelle ustar. La logica incoerente del parser nel determinare i confini dei dati crea questa pericolosa falla.
Scenari di attacco preoccupanti
I ricercatori di Edera hanno delineato possibili scenari d'infezione particolarmente insidiosi. Un malintenzionato potrebbe caricare un pacchetto apparentemente legittimo sul repository PyPI, da cui gli sviluppatori scaricano abitualmente strumenti utili. Il contenitore TAR esterno conterrebbe file innocui, mentre un TAR interno nascosto introdurrebbe codice malevolo capace di compromettere l'ambiente di test e contaminare l'intera catena di distribuzione del software.
Un secondo scenario riguarda sistemi con fasi separate di scansione e approvazione. Uno scanner di sicurezza analizzerebbe il TAR esterno, approvandone il contenuto limitato, ma il processo di estrazione attraverso la libreria vulnerabile introdurrebbe file aggiuntivi non scansionati dal TAR interno, aggirando completamente i controlli di sicurezza.
Il problema delle librerie abbandonate
La situazione si complica ulteriormente per un aspetto cruciale: tokio-tar, nonostante abbia accumulato oltre 5 milioni di download sulla piattaforma crates.io, risulta probabilmente abbandonata dai suoi manutentori e rimane priva di correzioni. "La vulnerabilità è particolarmente seria perché le librerie TAR vulnerabili sono spesso presenti in applicazioni non più mantenute attivamente, e possono sfuggire durante le operazioni di aggiornamento", sottolinea Beggs.
Gli sviluppatori che dipendono da tokio-tar dovrebbero considerare la migrazione verso versioni attivamente mantenute come astral-tokio-tar dalla versione 0.5.6 in poi, che sono state corrette. Il bug è stato scoperto lo scorso luglio e comunicato ai manutentori di tutte le librerie coinvolte, alla Rust Foundation e a diversi progetti. Per accordo, i dettagli non sono stati resi pubblici fino a questa settimana.
Raccomandazioni per la sicurezza
Beggs raccomanda ai responsabili della sicurezza informatica di intraprendere azioni concrete. Innanzitutto occorre verificare il codice per identificare le dipendenze da tokio-tar o sue derivazioni, assicurandosi che siano aggiornate. È fondamentale rivedere l'utilizzo dei file TAR negli ambienti di integrazione e distribuzione continua, così come nei container, garantendo l'applicazione delle patch disponibili.
Altrettanto importante risulta isolare gli archivi durante l'elaborazione ed evitare di estrarre file TAR da fonti non attendibili. Infine, è necessario monitorare costantemente l'emergere di possibili exploit o ulteriori vulnerabilità associate a questa libreria. Sebbene al momento non esistano exploit conosciuti, Beggs avverte che la situazione potrebbe cambiare rapidamente, dato l'alto livello di gravità della falla.
Lezioni da un linguaggio considerato sicuro
Gli sviluppatori Rust promuovono questo linguaggio come soluzione per creare applicazioni sicure dal punto di vista della gestione della memoria. Tuttavia, i ricercatori di Edera sottolineano un aspetto cruciale: "La scoperta di TARmageddon rappresenta un importante promemoria del fatto che Rust non elimina i bug logici". Questa inconsistenza nell'analisi è fondamentalmente un difetto di logica, e gli sviluppatori devono rimanere vigili contro tutte le categorie di vulnerabilità, indipendentemente dal linguaggio utilizzato.
Il rapporto richiama l'attenzione anche sui rischi derivanti dall'affidarsi a librerie open source non più mantenute all'interno del proprio codice, un problema che attraversa l'intero ecosistema dello sviluppo software moderno e che richiede strategie di gestione più consapevoli delle dipendenze.