En sikkerhetsforsker var i stand til å bryte de interne systemene til over 35 store selskaper, inkludert Apple, Microsoft og PayPal, ved å bruke et programvareforsyningskjedeangrep (via Blødende datamaskin ).
Sikkerhetsforsker Alex Birsan var i stand til å utnytte en unik designfeil i noen åpen kildekode-økosystemer kalt 'avhengighetsforvirring' for å angripe systemene til selskaper som Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla og Uber.
Angrepet innebar opplasting av skadevare til åpen kildekode-repositorier inkludert PyPI, npm og RubyGems, som deretter automatisk ble distribuert nedstrøms til de ulike selskapenes interne applikasjoner. Ofrene mottok automatisk de ondsinnede pakkene, uten at det var nødvendig med sosial engineering eller trojanere.
Birsan var i stand til å lage forfalskede prosjekter ved å bruke de samme navnene på åpen kildekode-repositorier, som hver inneholdt en ansvarsfraskrivelse, og fant ut at applikasjoner automatisk ville trekke offentlige avhengighetspakker, uten å trenge noen handling fra utvikleren. I noen tilfeller, for eksempel med PyPI-pakker, vil enhver pakke med en høyere versjon bli prioritert uavhengig av hvor den befinner seg. Dette gjorde det mulig for Birsan å angripe programvareforsyningskjeden til flere selskaper.
Etter å ha bekreftet at komponenten hans hadde infiltrert bedriftsnettverket, rapporterte Birsan funnene sine til det aktuelle selskapet, og noen belønnet ham med en feilpremie. Microsoft tildelte ham det høyeste feilbeløpet på $40 000 og ga ut en hvitbok om dette sikkerhetsproblemet, mens Apple fortalte BleepingComputer at Birsan vil motta en belønning via Apple Security Bounty-programmet for ansvarlig avsløring av problemet. Birsan har nå tjent over $130 000 gjennom bug bounty-programmer og forhåndsgodkjente penetrasjonstesting-arrangementer.
En fullstendig forklaring på metodikken bak angrepet er tilgjengelig hos Alex Birsan Medium side .
Stikkord: cybersikkerhet , bug bounty
Populære Innlegg