La aplicación de código abierto Wget, comunmente usada en sistemas Linux y Unix para la recuperación de archivos de la Web, se ha encontrado vulnerable a una falla crítica.

GNU Wget es una utilería de línea de comandos diseñada para recuperar archivos desde la web usando HTTP, HTTPS y FTP, los protocolos de Internet más ampliamente usados. Wget puede ser instalado fácilmente en cualquier sistema UNIX y ha sido adaptado a muchos entornos, incluyendo Microsoft Windows, Mac OS X, OpenVSM, MorphOS y AmigaOS.

Cuando un directorio recursivo busca a más de un servidor FTP como destino, permitiría a un atacante "crear archivos, directorios o ligas simbólicas arbitrariamente" debido a un fallo en symlink (liga simbólica, tipo especial de archivo que contiene la referencia a otro archivo o directorio en forma de ruta relativa o absulta).

"Se encontró  que Wget era susceptible a un ataque de symlink el cual puede crear archivos, directorios o ligas simbólicas arbitrariamente y establecer sus permisos al recuperar directorios recursivamente a través de FTP", escribió el desarrollador Vasyl Kaigorodov en un comentario en Red Hat Bugzilla.

Un servidor FTP malicioso remoto no autenticado conectado a la víctima a través de Wget permitiría a los atacantes hacer lo que quisieran. Wget podría descargar, crear o sobrescribir archivos existentes dentro del contexto del usuario ejecutando Wget.

La vulnerabilidad fue inicialmente reportada a GNU Wget Project por HD Moore, jefe de investigación de Rapid7 y se identifica públicamente como CVE-2014-4877. El fallo es considerado crítico porque Wget está presente en casi todos los servidores Linux en el mundo, y es instalable (aunque no de forma predeterminada) en máquinas OS X, así que necesita un parche tan pronto como sea posible.

"Este fallo puede provocar ejecución de código remoto a través de vectores de nivel de sistema, como de cron (administrador de procesos en segundo plano) y de niveles de usuario como archivos de perfiles de bash y las authorized_keys de SSH", escribió Moore.

Wget Project corrigió la vulnerabilidad en Wget 1.16, la cual bloquea las configuraciones predeterminadas que posibilitarían la creación de ligas simbólicas locales.

"Este problema puede ser mitigado asegurando que todas las invocaciones de Wget en modo espejo también especifiquen la opción --retr-symlinks de línea de comando", escribió Tomas Hoger en el reporte de Bugzilla. "Además de cambiar argumentos en todos los scripts o programas que involucran Wget, es posible habilitar la opción retr-symlinks por medio del archivo de configuración de Wget, ya sea con usuario global /etc/wgetrc, o usuario específico ~/.wgetrc , añadiendo la línea: retr-symliks=on".

Un exploit para la vulnerabilidad ya está disponible en la página de pruebas de penetración de código abierto de Metasploit, así, investigadores de seguridad pueden probar el error.