Хараат байдлын халдлага нь PayPal, Microsoft, Apple, Netflix, Uber болон бусад 30 компанид код гүйцэтгэх боломжийг олгодог

Хэд хоногийн өмнө Програмын хамаарал руу халдах боломжийг олгодог гайхалтай энгийн аргыг гаргасан дотоод багцыг ашиглан боловсруулсан болно. Асуудлыг тодорхойлсон судлаачид тэд таны кодыг ажиллуулж чадсан PayPal, Microsoft, Apple, Netflix, Uber, Tesla, Shopify зэрэг 35 компанийн дотоод серверүүд дээр.

Хакуудыг Bug Bounty хөтөлбөрийн хүрээнд халдлагад өртсөн компаниудтай уялдуулан хийсэн бөгөөд гэмт этгээдүүд эмзэг байдлыг олж тогтоосныхоо төлөө 130.000 долларын урамшуулал авчээ.

Арга нь үүнд суурилсан болно олон компаниуд дотоод хэрэглээндээ NPM, PyPI, RubyGems стандарт репозитор хамаарлыг ашигладаг, түүнчлэн олон нийтэд тараагаагүй эсвэл өөрсдийн агуулахаас татан аваагүй дотоод хамаарал.

Асуудал нь багцын менежерүүд юм npm, pip, gem гэх мэт тэд компаниудын дотоод хамаарлыг татаж авахыг хичээдэг. Довтолгооны хувьд зөвхөн дотоод хамааралтай багцын нэрийг тодорхойлж, ижил нэртэй өөрийн багцыг үүсгээрэй NPM, PyPI, RubyGems-ийн олон нийтийн мэдээллийн санд.

Асуудал нь NPM, PyPI, RubyGems-ийн онцлог шинж чанар биш бөгөөд NuGet, Maven, Yarn зэрэг бусад систем дээр илэрдэг.

Санал болгож буй аргын санаа нь судлаач GitHub дээр байрлуулсан олон нийтэд нээлттэй код дээр санамсаргүй байдлаар ажиглагдсаны дараа гарсан юм. олон компаниуд нэмэлт хамаарлын талаар дурдсан файлуудыг манифест файлуудаасаа хасдаггүй дотоод төслүүдэд эсвэл өргөтгөсөн функцийг хэрэгжүүлэхэд ашигладаг. Үүнтэй ижил төстэй ул мөрийг вэб үйлчилгээнд зориулсан JavaScript код, мөн олон компаниудын Node.JS, Python, Ruby төслүүдээс олж болно.

Гол алдагдал нь агуулгыг оруулахтай холбоотой байв pack.json файлуудыг бүтээх явцад олон нийтэд нээлттэй JavaScript код, түүнчлэн хараат байдлын нэрийг шүүхэд ашиглаж болох шаардлагатай () дуудлагын бодит замын элементүүдийг ашиглах.

Хэдэн сая корпорацийн домэйныг сканнердахад хэдэн мянган JavaScript багц нэрийг илрүүлэв NPM агуулахад байхгүй байсан. Дотоод багцын нэрсийн мэдээллийн санг бүрдүүлж, судлаач Bug Bounty хөтөлбөрт оролцож буй компаниудын дэд бүтцийг хакердах туршилт хийхээр шийджээ. Үр дүн нь гайхалтай үр дүнтэй байсан Судлаач нь өөрийн кодоо тасралтгүй интеграцийн систем дээр суурилан бүтээх буюу турших үүрэгтэй олон хөгжлийн компьютерууд болон серверүүд дээр ажиллуулж чадсан.

Хараат байдлыг татаж авахдаа багцын менежерүүд npm, pip, gem нь үндсэндээ NPM, PyPI, RubyGems зэрэг олон нийтийн анхдагч сангаас багцыг суулгасан бөгөөд эдгээрийг нэн тэргүүний зорилт гэж үзэв.

Ижил нэртэй ижил төстэй багцууд хувийн хэвшлийн компаниудын агуулахад байгаа эсэхийг анхааруулалгүйгээр, осолд хүргэхгүйгээр үл тоомсорлов. энэ нь администраторуудын анхаарлыг татаж магадгүй юм. PyPI-д татаж авах тэргүүлэх чиглэлд хувилбарын дугаар нөлөөлсөн (репозитороос үл хамааран багцын хамгийн сүүлийн хувилбарыг татаж авсан болно). NPM ба RubyGems-д тэргүүлэх чиглэл нь зөвхөн репозитороос хамааралтай байсан.

Судлаач олдсон дотоод хамаарлын нэрийг гаталж буй NPM, PyPI, RubyGems-ийн агуулахуудад багцуудыг байрлуулж, уг системийг суулгахаас өмнө ажиллуулах скриптэд код нэмж (NPM-д урьдчилан суулгасан) системийн талаархи мэдээллийг цуглуулж, хүлээн авсан мэдээллээ илгээх болно. гадаад хост руу.

Хак хакердсан амжилтын талаархи мэдээллийг дамжуулахын тулд гадаад траффикийг хааж буй галт ханыг тойрч, DNS протоколоор дамжуулж сувгийн далд холбоог зохион байгуулах арга. Ажиллаж байсан код нь довтолгооны домэйн дэх хостыг халдаж буй домэйны хяналтан дор шийдсэн бөгөөд ингэснээр DNS сервер дээрх амжилттай үйлдлүүдийн талаар мэдээлэл цуглуулах боломжтой болсон. Хост, хэрэглэгчийн нэр, одоогийн замын талаар мэдээлэл дамжуулсан.

Бүх бүртгэгдсэн кодын гүйцэтгэлийн 75% нь NPM багц татан авалттай холбоотой байв.Энэ нь Python болон Ruby-ийн хамаарлын нэрсээс хамаагүй илүү дотоод JavaScript модулийн нэрс байсантай холбоотой юм.

Эх сурвалж: https://medium.com/


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.