ИБ-специалисту Алексу Бирсану удалось взломать внутренние системы 35 различных технологических компаний, среди которых и крупные корпорации: Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и т. д. Для взлома эксперт использован новый тип атаки на цепочку поставок программного обеспечения.
Суть проведенной экспертом атаки заключается в загрузке вредоносного ПО в репозитории с открытым исходным кодом, в том числе PyPI, npm и RubyGems, в результате чего вредоносу в дальнейшем удалось проникнуть в приложения крупных компаний, которые использовали их исключительно в своей внутренней сети.
В отличие от обычных атака типа сквоттинга, которые базируются на методиках социальной инженерии или неправильном написании жертвой имени пакета, кибератака на цепочку поставок, проведенная Алексом Бирсаном, является более сложной, потому что со стороны жертвы не требуется совершать никаких действий – все вредоносные пакеты она получает автоматически.
Это обусловлено тем, что во время атаки используется уникальный конструктивный недостаток экосистем с открытым исходным кодом, который называется «путаницей зависимостей».
В результате проведенной работы по поиску уязвимостей специалисту Алексу Бирсану удалось заработать около 130 тыс. долларов в рамках действующих программ Bug Bounty. «Мне очень бы хотелось, чтобы каждая компания, которая была затронута в моем исследовании, предоставила разрешение на тестирование своих систем безопасности или через общедоступные программы Bug Bounty, или через частные соглашения», – отметил специалист.
Корпорация Microsoft за обнаружение уязвимости вознаградила Алекса Бирсана суммой в размере 40 тыс. долларов, выпустив при этом официальный документ, посвященной этой проблеме безопасности. Уязвимость получила идентификатор CVE-2021-24105 для продукта Azure Artifactory.
Представители Microsoft следующим образом прокомментировали найденную проблему: «Конечно, это серьезная проблема безопасности, но ее необходимо исправлять за счет перенастройки инструментов установки и рабочих процессов, а не путем исправления чего-либо в самих репозиториях пакетов. Для решения этой проблемы мы внесли незначительные улучшения в артефакты Azure, чтобы гарантировать их использование в качестве надежного обходного пути. Мы уверены, что главной причиной возникновения этой проблемы является недостаток дизайна, а не ошибка в диспетчерах пакетов, которая может быть исправлена только путем перенастройки».
Источник: Ciso.club