Araştırmacılar, bir PHP yazılım paketi deposu olan Packagist’te, yazılım tedarik zinciri saldırılarını gerçekleştirmek için kullanılabilecek, şu anda yamalı, yüksek önemde bir güvenlik açığıyla ilgili ayrıntıları açıkladılar.
“Bu güvenlik açığı, paketçi,” SonarSource araştırmacısı Thomas Chauchefoin söz konusu The Hacker News ile paylaşılan bir raporda. Packagist, PHP paket yöneticisi Composer tarafından geliştiriciler tarafından projelerine dahil edilen yazılım bağımlılıklarını belirlemek ve indirmek için kullanılır.
Açıklama, açık kaynak depolarına kötü amaçlı yazılım yerleştirmenin, yazılım tedarik zinciri saldırılarını başlatmak için çekici bir kanala dönüşmesiyle ortaya çıkıyor.
olarak izlendi CVE-2022-24828 (CVSS puanı: 8.8), sorun bir komut enjeksiyonu vakası olarak tanımlanmıştır ve Nisan 2021’de ortaya çıkan ve yetersiz bir yama olduğunu düşündüren benzer bir Composer hatasıyla (CVE-2021-29472) bağlantılıdır.
“Bir projenin URL’sinde açıkça listelenen bir Git veya Mercurial deposunu kontrol eden bir saldırgan besteci.json besteci güncellemesini çalıştıran makinede komutları yürütmek için özel hazırlanmış dal adlarını kullanabilir, “Packagist ifşa Nisan 2022 tavsiyesinde.
Kusurun başarılı bir şekilde kullanılması, bir paketi güncelleme isteklerinin, Packagist’in resmi örneğini çalıştıran arka uç sunucusunda rastgele komutlar yürütülerek kötü amaçlı bağımlılıkları dağıtmak için kaçırılmış olabileceği anlamına geliyordu.
“uzlaşma [the backend services] Chauchefoin, saldırganların, bir dahaki sefere yeni bir kurulum veya bir Composer paketi güncellemesi yaptıklarında, kullanıcıları arka kapılı yazılım bağımlılıklarını indirmeye zorlamalarına izin verecek” dedi.
Bununla birlikte, bugüne kadar güvenlik açığından yararlanıldığına dair bir kanıt yok. SonarSource’un 7 Nisan 2022’de kusuru bildirmesinden sonra, Composer 1.10.26, 2.2.12 ve 2.3.5 sürümlerinde düzeltmeler yapıldı.
Açık kaynak kodu, yazılım tedarik zincirine karşı kolayca silahlandırılabilmeleri nedeniyle tehdit aktörleri için giderek daha kazançlı bir tercih edilen hedef haline geldi.
Bu Nisan ayının başlarında, SonarSource, PEAR PHP deposunda, bir saldırganın yetkisiz erişim elde etmesine, sahte paketler yayınlamasına ve rastgele kod yürütmesine izin verebilecek 15 yıllık bir güvenlik açığını da ayrıntılı olarak açıkladı.
Chauchefoin, “Tedarik zincirleri farklı biçimler alabilirken, bunlardan biri önemli ölçüde daha etkilidir: Bu üçüncü taraf yazılım bileşenlerini dağıtan sunuculara erişim sağlayarak, tehdit aktörleri, kullanıcılarının sistemlerinde bir yer elde etmek için bunları değiştirebilir.” .