Drošības pētnieks varēja uzlauzt vairāk nekā 35 lielāko uzņēmumu, tostarp Apple, Microsoft un PayPal, iekšējās sistēmas, izmantojot programmatūras piegādes ķēdes uzbrukumu (izmantojot Pīkstošs dators ).
Drošības pētnieks Alekss Birsāns spēja izmantot unikālu dizaina trūkumu dažās atvērtā pirmkoda ekosistēmās, ko sauc par “atkarības apjukumu”, lai uzbruktu tādu uzņēmumu sistēmām kā Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla un Uber.
Uzbrukums ietvēra ļaunprātīgas programmatūras augšupielādi atvērtā pirmkoda krātuvēs, tostarp PyPI, npm un RubyGems, kuras pēc tam tika automātiski izplatītas pakārtotajās dažādu uzņēmumu iekšējās lietojumprogrammās. Upuri automātiski saņēma ļaunprātīgās pakotnes, neprasot sociālo inženieriju vai Trojas zirgus.
Birsan varēja izveidot viltotus projektus, izmantojot vienus un tos pašus nosaukumus atvērtā pirmkoda krātuvēs, katrā no kurām bija atrunas ziņojums, un atklāja, ka lietojumprogrammas automātiski izvilks publiskās atkarības pakotnes, bez izstrādātāja nekādas darbības. Dažos gadījumos, piemēram, ar PyPI pakotnēm, jebkurai pakotnei ar augstāku versiju tiks piešķirta prioritāte neatkarīgi no tā, kur tā atrodas. Tas ļāva Birsan veiksmīgi uzbrukt vairāku uzņēmumu programmatūras piegādes ķēdei.
Pārliecinoties, ka viņa komponents ir veiksmīgi iefiltrējies korporatīvajā tīklā, Birsans ziņoja par saviem atklājumiem attiecīgajam uzņēmumam, un daži viņu apbalvoja ar kļūdu piemaksu. Microsoft piešķīra viņam lielāko kļūdu atlīdzības summu 40 000 USD apmērā un publicēja balto grāmatu par šo drošības problēmu, savukārt Apple pastāstīja BleepingComputer ka Birsans saņems atlīdzību, izmantojot Apple Security Bounty programmu, par atbildīgu problēmas atklāšanu. Birsan tagad ir nopelnījis vairāk nekā 130 000 USD, izmantojot kļūdu novēršanas programmas un iepriekš apstiprinātus iespiešanās pārbaudes pasākumus.
Pilns uzbrukuma metodoloģijas skaidrojums ir pieejams Alex Birsan's Vidēja lappuse .
Birkas: kiberdrošība , bug bounty
Populārākas Posts