Новости Эксперт по кибербезопасности взломал внутренние системы 35 крупных технологических компаний

Marat_1162

Стаж на ФС с 2014 г
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
25/3/16
Сообщения
4.649
Репутация
9.166
Реакции
22.743
RUB
0
Депозит
3 500 рублей
Сделок через гаранта
4
1612945184763.jpeg

ИБ-специалисту Алексу Бирсану удалось взломать внутренние системы 35 различных технологических компаний, среди которых и крупные корпорации: Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и т. д. Для взлома эксперт использован новый тип атаки на цепочку поставок программного обеспечения.


Суть проведенной экспертом атаки заключается в загрузке вредоносного ПО в репозитории с открытым исходным кодом, в том числе PyPI, npm и RubyGems, в результате чего вредоносу в дальнейшем удалось проникнуть в приложения крупных компаний, которые использовали их исключительно в своей внутренней сети.


В отличие от обычных атака типа сквоттинга, которые базируются на методиках социальной инженерии или неправильном написании жертвой имени пакета, кибератака на цепочку поставок, проведенная Алексом Бирсаном, является более сложной, потому что со стороны жертвы не требуется совершать никаких действий – все вредоносные пакеты она получает автоматически.


Это обусловлено тем, что во время атаки используется уникальный конструктивный недостаток экосистем с открытым исходным кодом, который называется «путаницей зависимостей».


В результате проведенной работы по поиску уязвимостей специалисту Алексу Бирсану удалось заработать около 130 тыс. долларов в рамках действующих программ Bug Bounty. «Мне очень бы хотелось, чтобы каждая компания, которая была затронута в моем исследовании, предоставила разрешение на тестирование своих систем безопасности или через общедоступные программы Bug Bounty, или через частные соглашения», – отметил специалист.

Корпорация Microsoft за обнаружение уязвимости вознаградила Алекса Бирсана суммой в размере 40 тыс. долларов, выпустив при этом официальный документ, посвященной этой проблеме безопасности. Уязвимость получила идентификатор CVE-2021-24105 для продукта Azure Artifactory.

Представители Microsoft следующим образом прокомментировали найденную проблему: «Конечно, это серьезная проблема безопасности, но ее необходимо исправлять за счет перенастройки инструментов установки и рабочих процессов, а не путем исправления чего-либо в самих репозиториях пакетов. Для решения этой проблемы мы внесли незначительные улучшения в артефакты Azure, чтобы гарантировать их использование в качестве надежного обходного пути. Мы уверены, что главной причиной возникновения этой проблемы является недостаток дизайна, а не ошибка в диспетчерах пакетов, которая может быть исправлена только путем перенастройки».

Источник: Ciso.club
 
Сверху Снизу