Ένας ερευνητής ασφαλείας μπόρεσε να παραβιάσει τα εσωτερικά συστήματα περισσότερων από 35 μεγάλων εταιρειών, συμπεριλαμβανομένων των Apple, Microsoft και PayPal, χρησιμοποιώντας επίθεση στην αλυσίδα εφοδιασμού λογισμικού (μέσω Υπολογιστής Bleeping ).
Ερευνητής ασφάλειας Άλεξ Μπίρσαν ήταν σε θέση να εκμεταλλευτεί ένα μοναδικό σχεδιαστικό ελάττωμα σε ορισμένα οικοσυστήματα ανοιχτού κώδικα που ονομάζεται «σύγχυση εξάρτησης» για να επιτεθεί στα συστήματα εταιρειών όπως η Apple, η Microsoft, το PayPal, το Shopify, το Netflix, το Yelp, η Tesla και η Uber.
Η επίθεση περιελάμβανε τη μεταφόρτωση κακόβουλου λογισμικού σε αποθετήρια ανοιχτού κώδικα, συμπεριλαμβανομένων των PyPI, npm και RubyGems, τα οποία στη συνέχεια διανεμήθηκαν αυτόματα κατάντη στις εσωτερικές εφαρμογές των διαφόρων εταιρειών. Τα θύματα έλαβαν αυτόματα τα κακόβουλα πακέτα, χωρίς να απαιτείται κοινωνική μηχανική ή trojans.
Η Birsan μπόρεσε να δημιουργήσει πλαστά έργα χρησιμοποιώντας τα ίδια ονόματα σε αποθετήρια ανοιχτού κώδικα, το καθένα από τα οποία περιείχε ένα μήνυμα αποποίησης ευθύνης, και διαπίστωσε ότι οι εφαρμογές θα τραβούσαν αυτόματα πακέτα δημόσιας εξάρτησης, χωρίς να χρειάζεται καμία ενέργεια από τον προγραμματιστή. Σε ορισμένες περιπτώσεις, όπως με τα πακέτα PyPI, κάθε πακέτο με υψηλότερη έκδοση θα είχε προτεραιότητα ανεξάρτητα από το πού βρισκόταν. Αυτό επέτρεψε στην Birsan να επιτεθεί με επιτυχία στην αλυσίδα εφοδιασμού λογισμικού πολλών εταιρειών.
Αφού επαλήθευσε ότι το στοιχείο του είχε διεισδύσει επιτυχώς στο εταιρικό δίκτυο, ο Birsan ανέφερε τα ευρήματά του στην εν λόγω εταιρεία και κάποιοι τον επιβράβευσαν με ένα bounty bug. Η Microsoft του απένειμε το υψηλότερο ποσό του bug bounty των 40.000 $ και κυκλοφόρησε μια λευκή βίβλο για αυτό το ζήτημα ασφαλείας, ενώ η Apple είπε BleepingComputer ότι η Birsan θα λάβει ανταμοιβή μέσω του προγράμματος Apple Security Bounty για υπεύθυνη αποκάλυψη του ζητήματος. Η Birsan έχει πλέον κερδίσει πάνω από 130.000 $ μέσω προγραμμάτων bounty bug και προεγκεκριμένων ρυθμίσεων δοκιμών διείσδυσης.
Μια πλήρης εξήγηση της μεθοδολογίας πίσω από την επίθεση είναι διαθέσιμο στο Alex Birsan's Μεσαίο σελίδα .
Ετικέτες: κυβερνοασφάλεια , bug bounty
Δημοφιλείς Αναρτήσεις