Bezpečnostnému výskumníkovi sa podarilo narušiť interné systémy viac ako 35 veľkých spoločností, vrátane Apple, Microsoft a PayPal, pomocou útoku softvérového dodávateľského reťazca (cez Pípajúci počítač ).
Bezpečnostný výskumník Alex Birsan dokázal využiť jedinečnú konštrukčnú chybu v niektorých open-source ekosystémoch nazývanú „zmätok závislosti“ na útok na systémy spoločností ako Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla a Uber.
Útok zahŕňal nahrávanie malvéru do úložísk s otvoreným zdrojom vrátane PyPI, npm a RubyGems, ktoré sa potom automaticky distribuovali do interných aplikácií rôznych spoločností. Obete automaticky dostali škodlivé balíčky bez potreby sociálneho inžinierstva alebo trójskych koní.
Birsanovi sa podarilo vytvoriť falošné projekty s rovnakými názvami na úložiskách s otvoreným zdrojovým kódom, z ktorých každý obsahoval správu o vylúčení zodpovednosti, a zistil, že aplikácie automaticky sťahujú balíčky verejných závislostí bez toho, aby potrebovali akúkoľvek akciu od vývojára. V niektorých prípadoch, ako napríklad pri balíkoch PyPI, bude mať prioritu každý balík s vyššou verziou bez ohľadu na to, kde sa nachádza. To umožnilo Birsanovi úspešne zaútočiť na dodávateľský reťazec softvéru viacerých spoločností.
Po overení, že jeho komponent úspešne prenikol do podnikovej siete, Birsan oznámil svoje zistenia príslušnej spoločnosti a niektorí ho odmenili odmenou za chyby. Microsoft mu udelil najvyššiu odmenu za chyby vo výške 40 000 dolárov a vydal bielu knihu o tomto bezpečnostnom probléme, zatiaľ čo Apple povedal BleepingComputer že Birsan dostane odmenu prostredníctvom programu Apple Security Bounty za zodpovedné odhalenie problému. Birsan teraz zarobil viac ako 130 000 dolárov prostredníctvom programov odmeňovania chýb a vopred schválených opatrení na penetračné testovanie.
Úplné vysvetlenie metodológie útoku je k dispozícii u Alexa Birsana Stredná stránku .
Tagy: kybernetická bezpečnosť , bug bounty
Populárne Príspevky