Araştırmacılar, arşivlenmiş bir Apache projesini etkileyen bir bağımlılık karışıklığı güvenlik açığı belirlediler. Cordova Uygulama Demeti.
Bağımlılık karışıklığı saldırıları, paket yöneticilerinin özel kayıtlardan önce genel depoları kontrol etmesi ve böylece bir tehdit aktörünün aynı adı taşıyan kötü amaçlı bir paketi genel paket deposunda yayınlamasına izin vermesi nedeniyle gerçekleşir.
Bu, paket yöneticisinin sahte paketi amaçlanan özel depo yerine yanlışlıkla genel depodan indirmesine neden olur. Başarılı olursa, paketi yükleyen tüm alt müşterilerin kurulması gibi ciddi sonuçlar doğurabilir.
Bulut güvenlik şirketi Orca tarafından bulut ortamlarında depolanan npm ve PyPI paketlerinin Mayıs 2023 analizi açıklığa kavuşmuş Kuruluşların yaklaşık %49’unun bağımlılık karışıklığı saldırısına karşı savunmasız olduğu belirtiliyor.
Npm ve diğer paket yöneticileri o zamandan beri özel sürümlere öncelik vermek için düzeltmeler yapmış olsa da uygulama güvenlik firması Legit Security söz konusu Cordova App Harness projesinin, göreceli bir dosya yolu olmadan cordova-harness-client adlı dahili bir bağımlılığa referans verdiğini buldu.
Açık kaynak girişimi durduruldu Apache Yazılım Vakfı (ASF) tarafından 18 Nisan 2019 itibarıyla.
Legit Security’nin gösterdiği gibi bu durum, aynı ad altında daha yüksek sürüm numarasına sahip kötü amaçlı bir sürüm yükleyerek bir tedarik zinciri saldırısına kapıyı sonuna kadar açık bıraktı ve böylece npm’nin sahte sürümü genel kayıt defterinden almasına neden oldu.
Sahte paketin npm’ye yüklendikten sonra 100’den fazla indirme alması, arşivlenen projenin hâlâ kullanıma sunulduğunu ve muhtemelen kullanıcılar için ciddi riskler oluşturduğunu gösteriyor.
Varsayımsal bir saldırı senaryosunda, bir saldırgan, paket kurulumu sonrasında hedef ana bilgisayarda çalıştırılabilecek kötü amaçlı kod sunmak için kitaplığı ele geçirebilir.
Apache güvenlik ekibi o zamandan bu yana sorunu, sunucunun sahipliğini alarak çözdü. cordova-koşum-istemci paketi. Bağımlılık karışıklığı saldırılarını önlemek için kuruluşlara yer tutucu olarak genel paketler oluşturmalarının önerildiğini belirtmekte fayda var.
Güvenlik araştırmacısı Ofek Haviv, “Bu keşif, üçüncü taraf projelerini ve bağımlılıklarını, özellikle düzenli güncellemeler veya güvenlik yamaları almayan arşivlenmiş açık kaynaklı projeler olmak üzere, yazılım geliştirme fabrikasındaki potansiyel zayıf bağlantılar olarak dikkate alma ihtiyacını vurguluyor” dedi.
“Her ne kadar onları olduğu gibi bırakmak cazip görünse de, bu projeler genellikle dikkat çekmeyen ve düzeltilmesi muhtemel olmayan güvenlik açıklarına sahip.”