Wiele błędów bezpieczeństwa wykrytych w popularnych menedżerach pakietów oprogramowania

W popularnych menedżerach pakietów ujawniono wiele luk w zabezpieczeniach, które potencjalnie mogą zostać wykorzystane do uruchomienia dowolnego kodu i uzyskania dostępu do poufnych informacji, w tym kodu źródłowego i tokenów dostępu, z zaatakowanych komputerów.

Warto jednak zauważyć, że luki wymagają od docelowych deweloperów obsługi szkodliwego pakietu w połączeniu z jednym z zaatakowanych menedżerów pakietów.

„Oznacza to, że atak nie może zostać uruchomiony bezpośrednio na maszynę programisty ze zdalnego komputera i wymaga, aby programista został oszukany w celu załadowania podatnych plików” – powiedział badacz SonarSource Paul Gerste . „Ale czy zawsze możesz znać i ufać właścicielom wszystkich pakietów, z których korzystasz z Internetu lub wewnętrznych repozytoriów firmy?”

Menedżery pakietów odnoszą się do systemów lub zestawów narzędzi używanych do automatyzacji instalacji, uaktualniania i konfigurowania zależności innych firm wymaganych do tworzenia aplikacji.

Podczas gdy nieuczciwe biblioteki torują sobie drogę do repozytoriów pakietów, wiążą się z tym zagrożenia bezpieczeństwa – co wymaga odpowiedniego sprawdzenia zależności w celu ochrony przed atakami na dezorientację – „zarządzanie zależnościami zwykle nie jest postrzegane jako potencjalnie ryzykowna operacja”.

Jednak nowo wykryte problemy w różnych menedżerach pakietów wskazują, że mogą one zostać wykorzystane przez atakujących w celu nakłonienia ofiar do wykonania złośliwego kodu. Wady zostały zidentyfikowane w następujących menedżerach pakietów:

  • Composer 1.x < 1.10.23 and 2.x < 2.1.9
  • Bundler < 2.2.33
  • Bower < 1.8.13
  • Poetry < 1.1.9
  • Yarn < 1.22.13
  • pnpm < 6.15.1
  • Pip (no fix)
  • Pipenv (no fix)

Najważniejszym ze słabych punktów jest błąd wstrzykiwania polecenia w poleceniu przeglądania Composera, który może zostać wykorzystany do wykonania dowolnego kodu poprzez wstawienie adresu URL do już opublikowanego szkodliwego pakietu.

Jeśli pakiet wykorzysta techniki pisania liter lub dezorientacji zależności, może to potencjalnie doprowadzić do scenariusza, w którym uruchomienie polecenia przeglądania dla biblioteki może prowadzić do pobrania ładunku następnego etapu, który mógłby następnie zostać wykorzystany do uruchomienia dalszych ataków.

Dodatkowe wstrzykiwanie argumentów i niezaufane luki w ścieżce wyszukiwania wykryte w Bundler, Poetry, Yarn, Composer, Pip i Pipenv oznaczały, że haker mógł uzyskać wykonanie kodu za pomocą pliku wykonywalnego git zawierającego złośliwe oprogramowanie lub pliku kontrolowanego przez atakującego, takiego jak Gemfile to jest używane do określenia zależności dla programów Ruby.

Po ujawnieniu tego wydano poprawki mające na celu rozwiązanie problemów w Composer, Bundler, Bower, Poetry, Yarn i Pnpm. Ale Composer, Pip i Pipenv, z których wszystkie trzy są dotknięte błędem w niezaufanej ścieżce wyszukiwania, zdecydowały się nie usuwać tego błędu.

„Programiści są atrakcyjnym celem dla cyberprzestępców, ponieważ mają dostęp do podstawowych zasobów własności intelektualnej firmy: kodu źródłowego” – powiedział Gerste. „Złamanie ich umożliwia atakującym prowadzenie działań szpiegowskich lub osadzenie złośliwego kodu w produktach firmy. Może to nawet zostać wykorzystane do wymierzenia ataków w łańcuchu dostaw”.

Podziel się postem:

Najnowsze:

Bezpieczeństwo

IYPS – Czy Twoje hasło jest bezpieczne? Aplikacja, która sprawdza bezpieczeństwo haseł

W dzisiejszych czasach, kiedy coraz więcej aspektów naszego życia przenosi się do sieci, bezpieczeństwo online staje się priorytetem. Jednym z najważniejszych elementów tego bezpieczeństwa są silne i unikalne hasła. Ale jak sprawdzić, czy nasze hasła są rzeczywiście bezpieczne? Z pomocą przychodzi aplikacja IYPS – Is Your Password Secure?

Sprzęt

RTX 5090 z rekordową przepustowością pamięci

Według najnowszych doniesień Nvidia wybrała pamięć GDDR7 firmy Samsung jako preferowaną pamięć dla nadchodzącej serii kart graficznych GeForce RTX 50 “Blackwell”. Choć nie ma oficjalnego potwierdzenia, przeciek głosi, że ma być ona wykorzystana w produktach, które wejdą na rynek w 2025 roku.

Oprogramowanie

Oficjalnie wydano jądro Linux 6.12. Oto nowości

W tej wersji wprowadzono obsługę „PREEMPT_RT” w czasie rzeczywistym, nowy harmonogram o nazwie sched_ext oraz komunikaty alarmowe DRM w postaci kodów QR.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *