Sélectionner une page


Bug Hunter a été récompensé par un paiement de 130000 $ pour la vulnérabilité de confusion de dépendance

Le chercheur pirate Apple, Microsoft et d'autres grandes entreprises technologiques dans de nouveaux types d'attaques sur la chaîne d'approvisionnement

Un chercheur en sécurité a détaillé comment il a piraté les systèmes d’Apple, Microsoft, PayPal et d’autres grandes entreprises technologiques dans le cadre d’une nouvelle attaque contre la chaîne d’approvisionnement logicielle.

Le chasseur de scarabées Alex Birsan détaillé dans un article de blog a publié hier (9 février) comment il a pu accéder aux systèmes internes de ses cibles en exploitant une vulnérabilité connue sous le nom de «confusion des dépendances».

La confusion de dépendance est le nom donné à un vulnérabilité Cela pourrait permettre à un attaquant d’exécuter des logiciels malveillants sur les réseaux d’une organisation en écrasant les packages de dépendances utilisés à titre privé par des packages publics malveillants portant le même nom.

De nombreuses entreprises utilisent à la fois des dépendances privées et publiques dans leur code source. Les dépendances publiques peuvent être téléchargées vers Open source Contributeur à GitHub de n’importe qui, ce qui signifie qu’ils pourraient potentiellement contenir du code malveillant.

Qu’est-ce qu’il y a dans un nom

Birsan a déclaré avoir eu l’idée de confondre les dépendances tout en étudiant un fichier Node.js, destiné à un usage interne PayPal, partagé par son ami chercheur Justin Gardner.

Le code contenait à la fois des dépendances privées et publiques, a déclaré Birsan. Après un examen plus approfondi, il a constaté que certains des noms de packages privés ne figuraient pas dans le registre public du NPM.

« Que faire si un code malveillant est téléchargé sur NPM sous ces noms? » A écrit Birsan.

« Est-il possible pour certains projets internes de PayPal d’utiliser les nouveaux packages publics au lieu des packages privés par défaut? »

Découvrez les dernières nouvelles sur le développement de logiciels sécurisés

Birsan a testé sa théorie et a téléchargé du code malveillant dans des registres de dépendances NPM publics sous les noms de packages privés qu’il a trouvés sur GitHub, des sites d’hébergement de packages et des forums en ligne. Aucun de ces packages privés n’a déjà été répertorié comme public.

Le chercheur a découvert que si un package de dépendances était répertorié sous le même nom dans les référentiels publics et privés, la version publique prévaudrait et serait utilisée à la place.

Fait inquiétant, l’attaque n’a pas nécessité d’interaction avec le développeur pour réussir et a automatiquement remplacé les packages privés par le package public malveillant de Birsan.

« Heureusement, NPM permet à n’importe quel code de s’exécuter automatiquement pendant l’installation du package, donc je peux facilement créer un package de nœuds qui rassemble des informations de base sur chaque ordinateur sur lequel il est installé via le script de pré-installation », a déclaré Birsan.

Il a ensuite utilisé l’exfiltration DNS pour se renvoyer les informations afin d’éviter la détection par les développeurs.

Autres objectifs

Le chercheur a ensuite appliqué la même technique en créant des packages RubyGems et Python publics, en portant son code malveillant dans les dépendances et en recréant l’attaque.

Birsan a pu exploiter cette vulnérabilité pour violer les systèmes internes des organisations ci-dessus ainsi que Shopify, Netflix, Yelp, Tesla et Uber. Au moins 130 000 $ ont été gagnés dans Bug Bounty.

La vulnérabilité a été trouvée dans plus de 35 organisations dans les trois langages de programmation testés. La grande majorité des entreprises concernées appartiennent à la catégorie des plus de 1 000 employés, ce qui est probablement dû à la prévalence plus élevée de l’utilisation des bibliothèques internes dans les grandes organisations « .

Birsan a écrit:

Qu’il s’agisse d’erreurs ponctuelles commises par les développeurs sur leurs propres ordinateurs, de serveurs de build internes ou cloud mal configurés, de pipelines de développement systémiquement vulnérables, une chose était claire: accroupir des noms de packages internes valides était un moyen presque sûr d’entrer dans le système pour obtenir dans les réseaux de certaines des plus grandes entreprises technologiques Exécution de code à distanceet éventuellement permettre aux attaquants d’ajouter des portes dérobées pendant la construction.

Protection contre l’attaque

Il a maintenant été confirmé qu’Apple, Yelp et Microsoft ont résolu le problème. Ce dernier a posté un problème des conseils détaillés (PDF) pour réduire le risque d’utiliser des packages privés.

Microsoft, qui a accordé la prime de bogue la plus élevée de 40000 USD pour la vulnérabilité, a exhorté les utilisateurs à s’assurer que tous les paquets privés ne sont pas disponibles dans les flux publics ou à s’assurer qu’ils sont accessibles via un flux unique qui fusionne en toute sécurité les vues publiques et privées.

Pour plus d’informations sur l’utilisation des packages de dépendances privés en toute sécurité, consultez conseils (PDF).

TU POURRAIS AUSSI AIMER Vulnérabilités dans WordPress: 800000 sites Web exécutant le plugin NextGen Gallery peuvent être vulnérables à Pwnage



Source link

Recent Posts