Des copieurs émergent après qu’un chercheur ait exploité une faille de conception pour violer Microsoft, Apple, Tesla
Français
Des auteurs pseudonymes ont publié plus de 150 packages de copie trois jours seulement après que Sonatype a publié des recherches sur une faille de la chaîne d’approvisionnement logicielle, tentant d’exploiter les vulnérabilités dans la brève fenêtre avant un correctif.
Le 9 février, Alex Birsan, un hacker éthique et chercheur en sécurité, a publié un blog qui expliquait comment il utilisait la dépendance, ou la confusion de l’espace de noms, «pour pousser son code de preuve de concept (PoC) malveillant vers les versions de développement interne de plus de 35 grandes organisations technologiques, y compris Microsoft, Apple, Tesla, Uber et autres. » Sonatype a publié sa propre analyse de ses résultats, a déclaré la société.
Dans les 48 heures suivant la publication de rapports sur les découvertes de Birsan, les systèmes automatisés de détection de logiciels malveillants de Sonatype, qui font partie de Nexus Intelligence, ont commencé à signaler plus de 150 paquets npm de copie publiés par différents auteurs », imitant la recherche PoC de Birsan, a déclaré la société. «Nous voyons activement plus de ces packages arriver toutes les quelques heures.»
Lorsque de telles défaillances se produisent, «les canaux d’attaque semblent nouveaux et attirent beaucoup plus d’attention: d’abord de ceux qui recherchent des primes de bogues, et ensuite d’une vague probable d’attaques», a déclaré Brian Fox, directeur de la technologie de Sonatype, à SC Media. «Je prévois que certains de ces mauvais acteurs se présenteront comme la première vague de chercheurs éthiques, déclarant peut-être même que leurs composants sont« pour la recherche en sécurité »tout en étant malveillants.»
La confusion des espaces de noms n’est pas un nouveau canal d’attaque pour les pirates, a-t-il noté, ajoutant que le vecteur d’attaque a été suivi pendant plus de 16 ans «Ce que la recherche de Birsan met en évidence, c’est le sacrifice à la sécurité qui vient du dilemme séculaire entre les gestionnaires de référentiels et développeurs. »
La tension entre les sauvegardes des référentiels comme la vérification des espaces de noms et la facilité d’utilisation pour les développeurs, a déclaré Fox, “a laissé une opportunité pour la résurgence de la confusion des espaces de noms, ce que nous voyons maintenant.”
Birsan a déclaré qu’il était «capable de scanner automatiquement des millions de domaines appartenant aux entreprises ciblées et d’extraire des centaines de noms de packages javascript supplémentaires qui n’avaient pas encore été revendiqués dans le registre npm», puis de télécharger son code «pour regrouper les services d’hébergement sous tous les noms et a attendu des rappels. »
Qualifiant le taux de réussite de «tout simplement étonnant», Birsan a écrit: «Qu’il s’agisse d’erreurs ponctuelles commises par les développeurs sur leurs propres machines, de serveurs de build internes ou cloud mal configurés, de pipelines de développement systémiquement vulnérables, une chose était claire: squatter un interne valide. Les noms de paquet étaient une méthode presque infaillible pour entrer dans les réseaux de certaines des plus grandes sociétés de technologie, obtenir l’exécution de code à distance et éventuellement permettre aux attaquants d’ajouter des portes dérobées pendant les builds. »
Microsoft s’est attaqué à ce problème en publiant un identifiant de vulnérabilité (CVE-2021-24105) pour son produit Azure Artifacts le Patch Tuesday.
