Credit:pix abay/CC0 Public Domain一名罗马尼亚威胁研究人员在周三发表的一份报告中详细描述了他如何闯入属于世界上一些最大公司的信息技术系统。他的攻击成功地瞄准了苹果、微软、特斯拉、贝宝、网飞和其他30多家公司。亚历克斯·比尔桑提前通知这些公司,他将测试他们系统的安全性,但没有事先向他们提供细节。
Birsan通过启动一个相对简单的攻击模式来完成任务:他用publi c代码包替换了服务器例行激活的私有代码包。当搜索代码包时,公司使用的自动化系统会进入公共存储库。如果需要一个Javascript、Ruby或Python模块来执行一个特定的功能,如果公司服务器检测到一个它认为是较新版本的同名包,它会自动将一个公共模块替换为它自己的内部模块。
Birsan告诉BleepingComputer,他的漏洞暴露了“自动化构建或安装工具中的漏洞或设计缺陷,这些漏洞或设计缺陷可能会导致公共依赖关系被误认为是同名的内部依赖关系。”
Birsan利用了这个漏洞,将代码注入到存储在公共存储库中的包中,如GitHub。他把故意重复使用名字和随后交换文件称为“依赖性混淆”。
他首先必须确定公司用于代码文件的名称,这样他就可以创建同名的伪造文件,但他发现这项任务相对容易。例如,Shopify自动安装了一个来自Birsan的伪造文件,他正确地猜测是“Shopify-cloud”
“成功率简直令人惊讶,”比尔桑周三在网上对他的功绩进行了评估。“我们能够自动扫描属于目标公司的数百万个域,并提取数百个尚未在npm注册表中声明的额外javascript包名称,”Birsan说。
这种由恶意行为者设置的陷阱可能会破坏公司的网络,扰乱运营,窃取数据或试图勒索钱财。
Birsan的代码没有恶意;他只检索了他的代码所影响的每台计算机的基本信息,包括用户名、主机名和每个唯一安装的当前路径。当Birsan的代码被目标公司激活时,程序会通知他。
“除了外部入侵防御系统,这些数据足以帮助安全团队根据我的报告识别可能存在漏洞的系统,”比尔桑说,“同时避免我的测试被误认为是实际攻击。”
作为回报,Birsan收集了“bug赏金”现金,公司支付给发现漏洞的研究人员。几个公司付给他的总额超过了13万美元。
Birsan想出这个主意的时候,他的同事Justin Gardner检查了一个管理文件的内部JavaScript包,并想知道如果一个同名的文件放在一个公共存储库中会发生什么。他们很快发现,无论哪个文件具有最新的内部版本号,都会被公司的服务器监听。
大多数受影响的公司能够在收到违规通知后快速修补其系统。
但是比尔桑说,他认为开源平台上的依赖性混乱仍然是一个问题。
他说:“具体来说,我相信找到新的、聪明的方法来泄露内部包名将会暴露出更多易受攻击的系统,而寻找替代编程语言和存储库作为目标将会暴露出一些额外的依赖混淆漏洞的攻击面。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
