Tietoturvatutkija onnistui murtautumaan yli 35 suuren yrityksen, mukaan lukien Applen, Microsoftin ja PayPalin, sisäisiin järjestelmiin käyttämällä ohjelmistojen toimitusketjuhyökkäystä ( Piikuva tietokone ).
Turvallisuustutkija Alex Birsan pystyi hyödyntämään ainutlaatuista suunnitteluvirhettä joissakin avoimen lähdekoodin ekosysteemeissä, jota kutsutaan 'riippuvuussekaannukseksi' hyökätäkseen Applen, Microsoftin, PayPalin, Shopifyn, Netflixin, Yelpin, Teslan ja Uberin kaltaisten yritysten järjestelmiä vastaan.
Hyökkäys sisälsi haittaohjelmien lataamisen avoimen lähdekoodin arkistoihin, mukaan lukien PyPI, npm ja RubyGems, jotka sitten jaettiin automaattisesti alavirtaan eri yritysten sisäisiin sovelluksiin. Uhrit saivat automaattisesti haitalliset paketit ilman manipulointia tai troijalaisia.
Birsan pystyi luomaan väärennettyjä projekteja käyttäen samoja nimiä avoimen lähdekoodin tietovarastoihin, joista jokainen sisälsi vastuuvapauslausekkeen, ja havaitsi, että sovellukset nousivat automaattisesti julkisia riippuvuuspaketteja ilman, että kehittäjä tarvitsee mitään. Joissakin tapauksissa, kuten PyPI-pakettien kanssa, kaikki paketit, joiden versio on korkeampi, asetetaan etusijalle riippumatta siitä, missä se sijaitsee. Tämän ansiosta Birsan onnistui hyökkäämään useiden yritysten ohjelmistojen toimitusketjua vastaan.
Todettuaan, että hänen komponenttinsa oli onnistuneesti soluttautunut yritysverkostoon, Birsan ilmoitti havainnoistaan kyseiselle yritykselle, ja jotkut palkitsi hänet bugipalkkiolla. Microsoft myönsi hänelle korkeimman 40 000 dollarin bugipalkkion ja julkaisi valkoisen kirjan tästä tietoturvaongelmasta, kun taas Apple kertoi BleepingComputer että Birsan saa palkinnon Apple Security Bounty -ohjelman kautta ongelman vastuullisesta paljastamisesta. Birsan on nyt ansainnut yli 130 000 dollaria bug bounty -ohjelmien ja ennalta hyväksyttyjen penetraatiotestausjärjestelyjen kautta.
Täydellinen selitys hyökkäyksen taustalla olevasta menetelmästä on saatavilla Alex Birsanista Keskikokoinen sivu .
Tunnisteet: kyberturvallisuus , bug bounty
Suosittu Viestiä