Üç güvenlik açığı ortaya çıkarıldı Hindistan cevizi kabukları Swift ve Objective-C Cocoa projeleri için yazılım tedarik zinciri saldırıları düzenlemek amacıyla kullanılabilecek bağımlılık yöneticisi, alt akış müşterilerini ciddi risklere sokabilir.
EVA Bilgi Güvenliği araştırmacıları Reef Spektor ve Eran Vaknin, güvenlik açıklarının “herhangi bir kötü niyetli aktörün binlerce sahipsiz kapsülün mülkiyetini iddia etmesine ve en popüler iOS ve macOS uygulamalarının çoğuna kötü amaçlı kod yerleştirmesine” olanak tanıdığını söyledi. söz konusu Bugün yayınlanan bir raporda.
İsrailli uygulama güvenlik firması, üç sorunun o zamandan beri çözüldüğünü söyledi yamalı Ekim 2023 itibarıyla CocoaPods tarafından. Ayrıca, açıklamalara yanıt olarak o anda tüm kullanıcı oturumlarını sıfırlar.
Güvenlik açıklarından biri, bir saldırganın “güvenlik açığını” kötüye kullanmasını mümkün kılan CVE-2024-38368’dir (CVSS puanı: 9.3).Pod’larınızı Talep Edin” bir paketi işleme tabi tutup kontrol altına alarak, kaynak koduyla oynamalarına ve kötü amaçlı değişiklikler yapmalarına etkili bir şekilde izin verir. Ancak, bunun için tüm önceki bakımcıların projeden çıkarılması gerekir.
Sorunun kökleri 2014 yılına, yani göçün başladığı zamana dayanıyor. Gövde sunucusu binlerce paketi bilinmeyen (veya talep edilmemiş) sahipleri, bir saldırganın pod’ları talep etmek için genel bir API ve CocoaPods kaynak kodunda bulunan bir e-posta adresini (“[email protected]”) kullanarak kontrolü ele geçirmesine izin veriyor.
İkinci hata daha da kritiktir (CVE-2024-38366, CVSS puanı: 10.0) ve Trunk sunucusunda paketleri değiştirmek veya manipüle etmek için kullanılabilecek keyfi bir kod çalıştırmak için güvenli olmayan bir e-posta doğrulama iş akışından yararlanır.
Hizmette ayrıca, alıcıyı görünüşte zararsız bir doğrulama bağlantısına tıklamaya teşvik edebilecek, ancak gerçekte bir geliştiricinin oturum belirteçlerine erişmek için isteği saldırgan tarafından kontrol edilen bir etki alanına yönlendiren e-posta adresi doğrulama bileşeninde (CVE-2024-38367, CVSS puanı: 8,2) ikinci bir sorun daha tespit edildi.
Daha da kötüsü, bu, bir HTTP başlığını taklit ederek (yani, HTTP başlığını değiştirerek) sıfır tıklamalı hesap ele geçirme saldırısına yükseltilebilir. X-İletilen-Ana Bilgisayar başlık alanı – ve yanlış yapılandırılmış e-posta güvenlik araçlarından yararlanma.
Araştırmacılar, “Neredeyse her pod sahibinin Trunk sunucusunda kurumsal e-postalarıyla kayıtlı olduğunu tespit ettik. Bu da onları sıfır tıklamalı ele geçirme açığımıza karşı savunmasız hale getiriyor” dedi.
CocoaPods’un ilk kez taranması değil bu. Mart 2023’te Checkmarx açıklığa kavuşmuş bağımlılık yöneticisiyle ilişkili terk edilmiş bir alt etki alanının (“cdn2.cocoapods”)[.]org”) GitHub Sayfaları aracılığıyla bir saldırgan tarafından kendi yüklerini barındırmak amacıyla ele geçirilmiş olabilir.
