RubyGems paket yöneticisinin koruyucuları, belirli koşullar altında değerli taşları kaldırmak ve bunları sahte sürümlerle değiştirmek için kötüye kullanılabilecek kritik bir güvenlik açığını ele aldı.
RubyGems, “Yank eylemindeki bir hata nedeniyle, herhangi bir RubyGems.org kullanıcısının belirli taşları kaldırması ve değiştirmesi, o kullanıcı bunu yapmaya yetkili olmasa bile mümkündü,” dedi. dedim 6 Mayıs 2022’de yayınlanan bir güvenlik danışma belgesinde.
JavaScript için npm ve Python için pip gibi RubyGems, Paketleme yöneticisi ve Ruby programlama dili için 171,500’den fazla kitaplıktan oluşan bir havuz sunan bir mücevher barındırma hizmeti.
Özetle, CVE-2022-29176 olarak izlenen söz konusu kusur, herkesin belirli taşları çekmesine ve aynı ada, aynı sürüm numarasına ve farklı platformlara sahip farklı dosyalar yüklemesine olanak sağladı.
Ancak bunun olması için, bir gem’in adında bir veya daha fazla tire olması gerekiyordu; burada tireden önceki kelime, saldırgan tarafından kontrol edilen bir gem’in adıydı ve 30 gün içinde oluşturulmuş veya 100’den fazla güncellemesi yoktu. günler.
Proje sahipleri, “Örneğin, ‘bir şey-sağlayıcı’ mücevheri, ‘bir şeyin’ sahibi tarafından ele geçirilmiş olabilir” dedi.
Proje sahipleri, güvenlik açığının vahşi doğada istismar edildiğine dair bir kanıt olmadığını ve değerli taş sahiplerinden kütüphanelerin izinsiz olarak kaldırılması konusunda onları uyaran herhangi bir destek e-postası almadığını da sözlerine ekledi.
Bakımcılar, “Son 18 aydaki mücevher değişikliklerinin denetimi, bu güvenlik açığının kötü niyetli bir şekilde kullanıldığına dair herhangi bir örnek bulamadı” dedi. “Bu istismarın olası kullanımı için daha derin bir denetim devam ediyor.”
Açıklama, NPM’nin platformundaki hesap devralma saldırılarını kolaylaştırmak ve kötü amaçlı paketler yayınlamak için silahlandırılmış olabilecek birkaç kusuru ele almasıyla geldi.
Bunların en başında, kötü niyetli aktörlerin, bilgileri olmadan güvenilir, popüler bakıcılara atayarak sahte kitaplıkları meşru olarak geçirmelerini sağlayan paket yerleştirme adı verilen bir tedarik zinciri tehdidi yer alır.