Bezpečnostní výzkumník dokázal prolomit interní systémy více než 35 velkých společností, včetně Apple, Microsoft a PayPal, pomocí útoku softwarového dodavatelského řetězce (prostřednictvím Pípavý počítač ).
Bezpečnostní výzkumník Alex Birsan dokázal využít unikátní designovou chybu v některých open-source ekosystémech zvanou „dependency confusion“ k útoku na systémy společností jako Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla a Uber.
Útok zahrnoval nahrání malwaru do úložišť s otevřeným zdrojovým kódem, včetně PyPI, npm a RubyGems, které byly následně automaticky distribuovány do interních aplikací různých společností. Oběti automaticky obdržely škodlivé balíčky bez nutnosti sociálního inženýrství nebo trojských koní.
Birsanovi se podařilo vytvořit padělané projekty se stejnými názvy na úložištích s otevřeným zdrojovým kódem, z nichž každý obsahoval zprávu o vyloučení odpovědnosti, a zjistil, že aplikace automaticky stahují balíčky veřejných závislostí, aniž by potřebovaly jakoukoli akci od vývojáře. V některých případech, jako například u balíčků PyPI, bude mít prioritu jakýkoli balíček s vyšší verzí bez ohledu na to, kde se nachází. To Birsanovi umožnilo úspěšně zaútočit na softwarový dodavatelský řetězec několika společností.
Po ověření, že jeho součást úspěšně pronikla do podnikové sítě, Birsan oznámil svá zjištění dotyčné společnosti a někteří ho odměnili odměnou za chyby. Microsoft mu udělil nejvyšší odměnu za chyby ve výši 40 000 $ a vydal bílou knihu o tomto bezpečnostním problému, zatímco Apple řekl BleepingComputer že Birsan obdrží odměnu prostřednictvím programu Apple Security Bounty za zodpovědné odhalení problému. Birsan nyní vydělal více než 130 000 $ prostřednictvím programů odměn za chyby a předem schválených ujednání o penetračním testování.
Úplné vysvětlení metodologie útoku je k dispozici u Alex Birsan's Střední strana .
Štítky: kybernetická bezpečnost , bug bounty
Populární Příspěvky