Wiele błędów bezpieczeństwa wykrytych w popularnych menedżerach pakietów oprogramowania

W popularnych menedżerach pakietów ujawniono wiele luk w zabezpieczeniach, które potencjalnie mogą zostać wykorzystane do uruchomienia dowolnego kodu i uzyskania dostępu do poufnych informacji, w tym kodu źródłowego i tokenów dostępu, z zaatakowanych komputerów.

Warto jednak zauważyć, że luki wymagają od docelowych deweloperów obsługi szkodliwego pakietu w połączeniu z jednym z zaatakowanych menedżerów pakietów.

„Oznacza to, że atak nie może zostać uruchomiony bezpośrednio na maszynę programisty ze zdalnego komputera i wymaga, aby programista został oszukany w celu załadowania podatnych plików” – powiedział badacz SonarSource Paul Gerste . „Ale czy zawsze możesz znać i ufać właścicielom wszystkich pakietów, z których korzystasz z Internetu lub wewnętrznych repozytoriów firmy?”

Menedżery pakietów odnoszą się do systemów lub zestawów narzędzi używanych do automatyzacji instalacji, uaktualniania i konfigurowania zależności innych firm wymaganych do tworzenia aplikacji.

Podczas gdy nieuczciwe biblioteki torują sobie drogę do repozytoriów pakietów, wiążą się z tym zagrożenia bezpieczeństwa – co wymaga odpowiedniego sprawdzenia zależności w celu ochrony przed atakami na dezorientację – „zarządzanie zależnościami zwykle nie jest postrzegane jako potencjalnie ryzykowna operacja”.

Jednak nowo wykryte problemy w różnych menedżerach pakietów wskazują, że mogą one zostać wykorzystane przez atakujących w celu nakłonienia ofiar do wykonania złośliwego kodu. Wady zostały zidentyfikowane w następujących menedżerach pakietów:

  • Composer 1.x < 1.10.23 and 2.x < 2.1.9
  • Bundler < 2.2.33
  • Bower < 1.8.13
  • Poetry < 1.1.9
  • Yarn < 1.22.13
  • pnpm < 6.15.1
  • Pip (no fix)
  • Pipenv (no fix)

Najważniejszym ze słabych punktów jest błąd wstrzykiwania polecenia w poleceniu przeglądania Composera, który może zostać wykorzystany do wykonania dowolnego kodu poprzez wstawienie adresu URL do już opublikowanego szkodliwego pakietu.

Jeśli pakiet wykorzysta techniki pisania liter lub dezorientacji zależności, może to potencjalnie doprowadzić do scenariusza, w którym uruchomienie polecenia przeglądania dla biblioteki może prowadzić do pobrania ładunku następnego etapu, który mógłby następnie zostać wykorzystany do uruchomienia dalszych ataków.

Dodatkowe wstrzykiwanie argumentów i niezaufane luki w ścieżce wyszukiwania wykryte w Bundler, Poetry, Yarn, Composer, Pip i Pipenv oznaczały, że haker mógł uzyskać wykonanie kodu za pomocą pliku wykonywalnego git zawierającego złośliwe oprogramowanie lub pliku kontrolowanego przez atakującego, takiego jak Gemfile to jest używane do określenia zależności dla programów Ruby.

Po ujawnieniu tego wydano poprawki mające na celu rozwiązanie problemów w Composer, Bundler, Bower, Poetry, Yarn i Pnpm. Ale Composer, Pip i Pipenv, z których wszystkie trzy są dotknięte błędem w niezaufanej ścieżce wyszukiwania, zdecydowały się nie usuwać tego błędu.

„Programiści są atrakcyjnym celem dla cyberprzestępców, ponieważ mają dostęp do podstawowych zasobów własności intelektualnej firmy: kodu źródłowego” – powiedział Gerste. „Złamanie ich umożliwia atakującym prowadzenie działań szpiegowskich lub osadzenie złośliwego kodu w produktach firmy. Może to nawet zostać wykorzystane do wymierzenia ataków w łańcuchu dostaw”.

Podziel się postem :)

Najnowsze:

Oprogramowanie

Windows 11 zaczyna mieć sens. Microsoft Copilot przypadnie Wam do gustu

Microsoft unifikuje większość swoich czatbotów, tworząc tym samym jedną wielką hostowaną w chmurze aplikację. Która wie co trzeba o każdym ze swoich użytkowników i jest zawsze pod ręką – niezależnie od aktualnie otwartej aplikacji czy urządzenia.

Oprogramowanie

Google wprowadził szereg nowości w Bard

Google ulepsza Barda, czyli eksperyment polegający na wykorzystaniu generatywnej AI. Użytkownicy mogą poprosić Barda o wykonanie różnych zadań, takich jak utworzenie dokumentu z planem podróży, przygotowanie reklamy lub pomoc w wyjaśnieniu skomplikowanego terminu naukowego.

Oprogramowanie

Paint w Windows 11 obsłuży warstwy. Microsoft rozwija program

Paint na przestrzeni lat stawał się coraz bardziej zapomnianym programem. Jednak wraz z premierą Windows 11 firma Microsoft tchnęła w niego nowe życie. Dziś jest to już bardzo funkcjonalne narzędzie, a kolejne nowinki pojawią się już niebawem. We wrześniu 2023 r. zapowiedziano trzy cenne dodatki.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *