PEAR PHP deposunda, bir saldırganın sahte paketler yayınlamak ve rastgele kod yürütmek için yetkisiz erişim elde etmek de dahil olmak üzere bir tedarik zinciri saldırısı gerçekleştirmesine izin verebilecek 15 yıllık bir güvenlik açığı açıklandı.
SonarSource güvenlik açığı araştırmacısı Thomas Chauchefoin, “İlkini kullanan bir saldırgan, herhangi bir geliştirici hesabını devralabilir ve kötü amaçlı sürümler yayınlayabilirken, ikinci hata, saldırganın merkezi PEAR sunucusuna kalıcı erişim sağlamasına izin verebilir.” dedim bu hafta yayınlanan bir yazıda.
PHP Uzantısı ve Uygulama Deposu’nun kısaltması olan PEAR, yeniden kullanılabilir PHP bileşenleri için bir çerçeve ve dağıtım sistemidir.
Bir çalışmada tanıtılan konulardan biri kod taahhüdü özelliğin ilk uygulandığında Mart 2007’de yapılmış, kriptografik olarak güvensiz mt_rand() Parola sıfırlama işlevindeki PHP işlevi, bir saldırganın “50 denemeden daha kısa sürede geçerli bir parola sıfırlama belirteci keşfetmesine” izin verebilir.
Bu istismarla donanmış kötü bir aktör, mevcut geliştirici veya yönetici hesaplarını ele geçirmek ve geliştiriciler tarafından halihazırda sürdürülen paketlerin truva atına dönüştürülmüş yeni sürümlerini yayınlamak için hedefleyebilir ve bu da yaygın bir tedarik zinciri uzlaşmasına neden olabilir.
İlk erişime ulaşmak için rakibin yukarıda belirtilen kusurla zincirleme yapmasını gerektiren ikinci güvenlik açığı, armut ağı‘nin daha eski bir sürümüne güvenmesi Arşiv_Taryüksek şiddete duyarlı olan dizin geçiş hatası (CVE-2020-36193CVSS puanı: 7.5), rastgele kod yürütülmesine yol açar.
Chauchefoin, “Bu güvenlik açıkları on yıldan fazla bir süredir mevcuttu ve tanımlanması ve istismar edilmesi önemsizdi ve buna güvenen şirketlerin güvenlik katkılarının eksikliği hakkında soruları gündeme getirdi.” Dedi.
Bulgular, PHP tedarik zincirinde bir yıldan kısa bir süre içinde ikinci kez güvenlik sorunlarının ortaya çıktığını gösteriyor. Nisan 2021’in sonlarında, Composer PHP paket yöneticisinde, bir rakibin rastgele komutlar yürütmesini sağlayabilecek kritik güvenlik açıkları açıklandı.
NPM ekosisteminde yaygın olarak kullanılan kitaplıkları hedef alan protesto amaçlı yazılım olaylarının ardından tehlikeli bir tehdit olarak ortaya çıkan yazılım tedarik zinciri saldırıları ile birlikte, yazılımdaki kod bağımlılıklarına bağlı güvenlik sorunları yeniden gündeme geldi ve Açık Kaynak Girişimi’ni “açık kaynağın silahlandırılmasıağır basan bir siber vandalizm eylemi[s] olası herhangi bir fayda.”