Saugumo tyrinėtojui pavyko pažeisti daugiau nei 35 didelių įmonių, įskaitant „Apple“, „Microsoft“ ir „PayPal“, vidines sistemas, naudodamas programinės įrangos tiekimo grandinės ataką (per Blyksnis kompiuteris ).
Saugumo tyrinėtojas Aleksas Birsanas sugebėjo išnaudoti unikalų kai kurių atvirojo kodo ekosistemų dizaino trūkumą, vadinamą „priklausomybės painiava“, kad atakuotų tokių įmonių, kaip „Apple“, „Microsoft“, „PayPal“, „Shopify“, „Netflix“, „Yelp“, „Tesla“ ir „Uber“, sistemas.
Ataka apėmė kenkėjiškų programų įkėlimą į atvirojo kodo saugyklas, įskaitant PyPI, npm ir RubyGems, kurios vėliau buvo automatiškai paskirstytos į įvairių įmonių vidines programas. Aukos automatiškai gaudavo kenkėjiškus paketus, nereikalaujant jokios socialinės inžinerijos ar Trojos arklių.
Birsan sugebėjo sukurti padirbtus projektus naudodamas tuos pačius pavadinimus atvirojo kodo saugyklose, kurių kiekvienoje yra atsakomybės atsisakymo pranešimas, ir nustatė, kad programos automatiškai ištrauks viešosios priklausomybės paketus, nereikalaujant jokių kūrėjo veiksmų. Kai kuriais atvejais, pavyzdžiui, naudojant PyPI paketus, bet kuriam paketui su aukštesne versija bus teikiama pirmenybė, nepaisant to, kur jis buvo. Tai leido Birsan sėkmingai atakuoti kelių įmonių programinės įrangos tiekimo grandinę.
Patikrinęs, kad jo komponentas sėkmingai įsiskverbė į įmonės tinklą, Birsanas pranešė apie savo išvadas atitinkamai įmonei, o kai kurie apdovanojo jį klaidos dovanomis. „Microsoft“ skyrė jam didžiausią 40 000 USD sumą už klaidas ir išleido baltąją knygą šia saugumo problema, o „Apple“ sakė „BleepingComputer“. kad Birsanas gaus atlygį per Apple Security Bounty programą už atsakingą problemos atskleidimą. Birsanas dabar uždirbo daugiau nei 130 000 USD, naudodamas klaidų mažinimo programas ir iš anksto patvirtintas skverbties testavimo priemones.
Išsamus atakos metodologijos paaiškinimas yra galima įsigyti pas Alexą Birsaną Vidutinis puslapį .
Žymos: kibernetinis saugumas , klaidų gausa
Populiarios Temos