Напад зависности омогућава извршавање кода у ПаиПал-у, Мицрософт-у, Аппле-у, Нетфлик-у, Убер-у и још 30 компанија

Пре неколико дана објављена је изненађујуће једноставна метода која омогућава напад на зависности у апликацијама који су развијени помоћу интерних спремишта пакета. Истраживачи који су идентификовали проблем могли су да покрену ваш код на интерним серверима 35 компанија, укључујући ПаиПал, Мицрософт, Аппле, Нетфлик, Убер, Тесла и Схопифи.

Хакања су изведена у оквиру програма Буг Боунти, у координацији са нападнутим компанијама, а починиоци су већ добили 130.000 долара бонуса за идентификовање рањивости.

Метода се заснива на чињеници да многе компаније користе стандардне зависности спремишта НПМ, ПиПИ и РубиГемс у својим интерним апликацијама, као и интерне зависности које се не дистрибуирају јавно нити преузимају из сопствених спремишта.

Проблем је у томе што менаџери пакета попут нпм, пип и драгуља они покушавају да преузму интерне зависности компанија, чак и из јавних складишта. За напад, само дефинишите имена пакета са унутрашњим зависностима и креирајте сопствене пакете са истим именима у јавним спремиштима НПМ, ПиПИ и РубиГемс.

Проблем није специфичан за НПМ, ПиПИ и РубиГемс, а такође се манифестује и на другим системима као што су НуГет, Мавен и Иарн.

Идеја за предложену методу настала је након што је истраживач случајно приметио да у јавно доступном коду објављеном на ГитХуб-у, многе компаније не уклањају помињање додатних зависности из својих манифестних датотека користи се у интерним пројектима или приликом примене проширених функционалности. Слични трагови пронађени су у ЈаваСцрипт коду за веб услуге, као и у пројектима Ноде.ЈС, Питхон и Руби многих компанија.

Главна цурења била су повезана са уграђивањем садржаја из датотека пацкаге.јсон у јавно доступном ЈаваСцрипт коду током процеса израде, као и уз употребу стварних елемената путање у позивима рекуире (), који се могу користити за процену имена зависности.

Скенирањем неколико милиона корпоративних домена откривено је неколико хиљада имена ЈаваСцрипт пакета којих није било у спремишту НПМ. Саставивши базу података интерних имена пакета, истраживач је одлучио да спроведе експеримент за хаковање инфраструктуре компанија које учествују у програмима Буг Боунти. Резултати су били изненађујуће ефикасни а истраживач је могао да покреће свој код на многим развојним рачунарима и серверима одговорним за изградњу или тестирање засновано на системима континуиране интеграције.

Приликом преузимања зависности, управитељи пакета нпм, пип и гем углавном су инсталирали пакете из примарних јавних спремишта НПМ, ПиПИ и РубиГемс, за које се сматрало да имају већи приоритет.

Присуство сличних пакета са истим именима у спремиштима приватних компанија игнорисано је без показивања упозорења или изазивања отказивања то би могло привући пажњу администратора. У ПиПИ-ју, на приоритет преузимања утицао је број верзије (без обзира на спремиште, преузета је најновија верзија пакета). У НПМ-у и РубиГемс-у, приоритет је зависио само од спремишта.

Истраживач је ставио пакете у НПМ, ПиПИ и РубиГемс спремишта која се укрштају са именима пронађених интерних зависности, додајући код скрипти која се покреће пре инсталације (унапред инсталирана у НПМ) да би прикупио информације о систему и доставио информације. примљени на спољни домаћин.

Да би се пренеле информације о успеху хаковања, заобилазни заштитни зидови који блокирају спољни саобраћај, метод организовања тајних комуникација преко ДНС протокола. Код који је био покренут решио је хоста у домену која напада, под контролом домене која напада, што је омогућило прикупљање информација о успешним операцијама на ДНС серверу. Прослеђене су информације о хосту, корисничком имену и тренутној путањи.

75% свих забележених извршавања кода било је повезано са преузимањима НПМ пакета, пре свега због чињенице да је у ЈаваСцрипт-у било знатно више интерних имена модула од назива зависности у Питхон-у и Руби-у.

izvor: https://medium.com/


Будите први који ће коментарисати

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.