[Информационная безопасность, Open source, IT-инфраструктура, Софт, IT-компании] Исследователь взломал системы 35 крупных IT-компаний путем атаки на цепочку зависимостей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Исследователю Алексу Бирсану удалось взломать внутренние системы более 35 крупных компаний, включая Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber, в ходе атаки на цепочку поставок программного обеспечения. Атака заключалась в загрузке вредоносного ПО в репозитории с открытым исходным кодом, включая PyPI, npm и RubyGems, которое попадало во внутренние приложения компании. При этом от целевой системы не требовалось никаких действий. 
При атаке использовался конструктивный недостаток экосистем с открытым исходным кодом или путаница зависимостей. Бирсан уже получил за эксплойт более $130 тысяч в качестве вознаграждений. Исследователю предоставили файлы манифеста package.json из пакета npm, используемого внутри системы PayPal. Бирсан заметил, что некоторые из пакетов не присутствовали в общедоступном репозитории npm, а были частными пакетами npm, созданными PayPal. Тогда он решил выяснить, есть ли пакеты с такими же именами в общедоступном репозитории npm. 
Бирсан начал поиск имен внутренних пакетов в файлах манифестов в репозиториях GitHub или в CDN известных компаний. Затем он начал создавать поддельные пакеты с использованием тех же имен в репозиториях с открытым исходным кодом, таких как npm, PyPI и RubyGems. Каждый выходил под реальной учетной записью исследователя с пояснением: «Этот пакет предназначен для целей исследования безопасности и не содержит никакого полезного кода». 
Вскоре Бирсан понял, что если пакет зависимостей, используемый приложением, существует как в общедоступном репозитории с открытым исходным кодом, так и в частной сборке, то публичный пакет получит приоритет и будет извлечен без каких-либо действий со стороны разработчика. Используя эту технику, Бирсан провел успешную атаку цепочки поставок против Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp и Uber, просто опубликовав общедоступные пакеты с тем же именем, что и у внутренних пакетов компаний. Они включали сценарии предварительной установки, которые автоматически запускали извлечение идентифицирующей информации с ПК. Зная, что его сценарии будут устанавливать соединения из корпоративных сетей, Бирсан решил использовать DNS для эксфильтрации данных, чтобы обойти обнаружение. 
После проверки того, что поддельный компонент успешно проник в корпоративную сеть, Бирсан сообщал о своих выводах соответствующей компании и получал вознаграждение за обнаружение ошибок. Исследователь подчеркивает, что каждая организация, на которую было направлено это исследование, предоставила разрешение на проверку своей безопасности либо в публичной программе вознаграждений, либо путем частного соглашения. Microsoft выплатила Бирсану самое высокое вознаграждение в размере $40 тысяч и выпустила официальный документ по этой проблеме безопасности. Компания идентифицировала ее как CVE-2021-24105 для продукта Azure Artifactory. Однако компания отметила, что проблема должна быть исправлена путем перенастройки инструментов установки и рабочих процессов, а не путем исправлений внутри самих репозиториев пакетов. PayPal также публично обнародовала отчет Бирсана, в котором упоминается сумма вознаграждения в размере $30 тысяч. Однако директор Python Software Foundation Дастин Инграм заявил, что даже публичное исследование не является достаточным поводом для того, чтобы размещать сторонние пакеты на PyPI. Он подчеркнул, что загрузка незаконных пакетов в PyPI ложится чрезмерным бременем на тех, кто поддерживает его работу. Сам Бирсан отмечает, что по-прежнему существует возможность таких атак, особенно на платформах с открытым исходным кодом. Sonatype выпустила на GitHub скрипт, который пользователи Nexus Repository Manager могут запустить, чтобы сравнить частные пакеты с именами присутствующих в общедоступных репозиториях npm, RubyGems и PyPI.
===========
Источник:
habr.com
===========
Похожие новости:
- [Обработка изображений, Графический дизайн, Облачные сервисы, Софт] Adobe добавила функцию совместной, но не одновременной работы в Photoshop, Illustrator и Fresco
- [Настройка Linux, Open source, Графические оболочки] Сражение Linux на поприще Windows
- [Беспроводные технологии, Распределённые системы, IT-компании] Starlink открыла предзаказы с ограниченным числом слотов
- [Информационная безопасность, Open source, Системное администрирование, Софт] Хостим Bitwarden — open-source менеджер паролей
- [Научно-популярное, Космонавтика, IT-компании] НАСА заключило контракт со SpaceX на $331,8 млн по запуску модулей лунной станции Gateway
- [Информационная безопасность, Законодательство в IT, IT-компании] Huawei оспаривает в суде США свою угрозу нацбезопасности страны
- [Компьютерная анимация, CGI (графика), История IT, IT-компании] Disney закрывает студию Blue Sky
- [Разработка для Office 365, IT-компании] Microsoft Word тестирует тёмный режим с тёмным цветом «бумаги»
- [Информационная безопасность, Системное администрирование, Разработка под MacOS] Apple закрыла «дыру» macOS с превышением полномочий в sudo
- [Транспорт, IT-компании] Сбербанк и Cognitive Technologies заморозили совместный проект разработки беспилотных автомобилей
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_open_source, #_itinfrastruktura (IT-инфраструктура), #_soft (Софт), #_itkompanii (IT-компании), #_ataka (атака), #_issledovanie (исследование), #_postavka_programmnogo_obespechenija (поставка программного обеспечения), #_pakety (пакеты), #_repozitorii (репозитории), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_open_source, #_itinfrastruktura (
IT-инфраструктура
), #_soft (
Софт
), #_itkompanii (
IT-компании
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 08:02
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Исследователю Алексу Бирсану удалось взломать внутренние системы более 35 крупных компаний, включая Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber, в ходе атаки на цепочку поставок программного обеспечения. Атака заключалась в загрузке вредоносного ПО в репозитории с открытым исходным кодом, включая PyPI, npm и RubyGems, которое попадало во внутренние приложения компании. При этом от целевой системы не требовалось никаких действий.  При атаке использовался конструктивный недостаток экосистем с открытым исходным кодом или путаница зависимостей. Бирсан уже получил за эксплойт более $130 тысяч в качестве вознаграждений. Исследователю предоставили файлы манифеста package.json из пакета npm, используемого внутри системы PayPal. Бирсан заметил, что некоторые из пакетов не присутствовали в общедоступном репозитории npm, а были частными пакетами npm, созданными PayPal. Тогда он решил выяснить, есть ли пакеты с такими же именами в общедоступном репозитории npm.  Бирсан начал поиск имен внутренних пакетов в файлах манифестов в репозиториях GitHub или в CDN известных компаний. Затем он начал создавать поддельные пакеты с использованием тех же имен в репозиториях с открытым исходным кодом, таких как npm, PyPI и RubyGems. Каждый выходил под реальной учетной записью исследователя с пояснением: «Этот пакет предназначен для целей исследования безопасности и не содержит никакого полезного кода».  Вскоре Бирсан понял, что если пакет зависимостей, используемый приложением, существует как в общедоступном репозитории с открытым исходным кодом, так и в частной сборке, то публичный пакет получит приоритет и будет извлечен без каких-либо действий со стороны разработчика. Используя эту технику, Бирсан провел успешную атаку цепочки поставок против Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp и Uber, просто опубликовав общедоступные пакеты с тем же именем, что и у внутренних пакетов компаний. Они включали сценарии предварительной установки, которые автоматически запускали извлечение идентифицирующей информации с ПК. Зная, что его сценарии будут устанавливать соединения из корпоративных сетей, Бирсан решил использовать DNS для эксфильтрации данных, чтобы обойти обнаружение.  После проверки того, что поддельный компонент успешно проник в корпоративную сеть, Бирсан сообщал о своих выводах соответствующей компании и получал вознаграждение за обнаружение ошибок. Исследователь подчеркивает, что каждая организация, на которую было направлено это исследование, предоставила разрешение на проверку своей безопасности либо в публичной программе вознаграждений, либо путем частного соглашения. Microsoft выплатила Бирсану самое высокое вознаграждение в размере $40 тысяч и выпустила официальный документ по этой проблеме безопасности. Компания идентифицировала ее как CVE-2021-24105 для продукта Azure Artifactory. Однако компания отметила, что проблема должна быть исправлена путем перенастройки инструментов установки и рабочих процессов, а не путем исправлений внутри самих репозиториев пакетов. PayPal также публично обнародовала отчет Бирсана, в котором упоминается сумма вознаграждения в размере $30 тысяч. Однако директор Python Software Foundation Дастин Инграм заявил, что даже публичное исследование не является достаточным поводом для того, чтобы размещать сторонние пакеты на PyPI. Он подчеркнул, что загрузка незаконных пакетов в PyPI ложится чрезмерным бременем на тех, кто поддерживает его работу. Сам Бирсан отмечает, что по-прежнему существует возможность таких атак, особенно на платформах с открытым исходным кодом. Sonatype выпустила на GitHub скрипт, который пользователи Nexus Repository Manager могут запустить, чтобы сравнить частные пакеты с именами присутствующих в общедоступных репозиториях npm, RubyGems и PyPI. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_open_source, #_itinfrastruktura ( IT-инфраструктура ), #_soft ( Софт ), #_itkompanii ( IT-компании ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 08:02
Часовой пояс: UTC + 5