Исследователь нарушает системы более 35 компаний, включая Apple, Microsoft и PayPal


Исследователь нарушает системы более 35 компаний, в том числе Apple, Microsoft и PayPalwednesdente 10 февраля, 2021 6:31 AM PST от Hartley Charltona Security Security Security смог нарушить внутренние системы более 35 крупных компаний, включая Apple, Microsoft и PayPal, Использование атаки цепи поставок программного обеспечения (через Bleeping Computer).

Исследователь Безопасности Алекс Бирсан смог эксплуатировать уникальный дизайн-дефект в некоторых экосистемах с открытым исходным кодом, называемым «растерянностью зависимости», чтобы атаковать системы таких компаний, как Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla и Uber.

Атака включала загрузку вредоносных программ, чтобы открыть исходные репозитории, включая PYPI, NPM и RUBYGEMS, которые затем автоматически распределялись по течению в внутренние приложения различных компаний. Жертвы автоматически получали вредоносные пакеты, без необходимости социальной инженерии или троянов.

Бирсан смог создать контрафактные проекты, используя те же имена в репозиториях с открытым исходным кодом, каждый из которых содержит сообщение о отказе от ответственности, и обнаружил, что приложения будут автоматически вытащить пакеты общественного зависимости, не требуя никаких действий от разработчика. В некоторых случаях, таких как с пакетами Pypi, любой пакет с более высокой версией будет распределен, независимо от того, где он был расположен. Это позволило Birsan успешно атаковать программную цепочку многих компаний.

При проверке того, что его компонент успешно проникнул корпоративную сеть, Бирсан сообщил о своих выводах в рассматриваемой компании, а некоторые вознаградили его с помощью Bounty. Microsoft наградила его максимально высочайшей ошибкой Bounty в размере 40 000 долларов и выпустила белую статью на эту проблему безопасности, а Apple рассказала BleepingComputer, что Birsan получит награду через программу Bounty Security Action Security для ответственного раскрытия проблемы. Birsan теперь заработал более 130 000 долларов с помощью программ Bounty Bount и предварительно одобренные договоренности о проникновении.

Полное объяснение методологии от атаки доступно на средней странице Алекса Бирсана.

Добавить комментарий

Ваш адрес email не будет опубликован