Los investigadores han revelado detalles sobre una falla de seguridad de alta gravedad ahora parcheada en Packagist, un repositorio de paquetes de software PHP, que podría haberse aprovechado para montar ataques a la cadena de suministro de software.
“Esta vulnerabilidad permite hacerse con el control de empaquetadorinvestigador de SonarSource Thomas Chauchefoin dijo en un informe compartido con The Hacker News. Packagist es utilizado por Composer, el administrador de paquetes de PHP, para determinar y descargar dependencias de software que los desarrolladores incluyen en sus proyectos.
La divulgación se produce cuando la plantación de malware en repositorios de código abierto se está convirtiendo en un conducto atractivo para montar ataques a la cadena de suministro de software.
rastreado como CVE-2022-24828 (puntaje CVSS: 8.8), el tema se ha descrito como un caso de inyección de comandos y está vinculado a otro error similar de Composer (CVE-2021-29472) que salió a la luz en abril de 2021, lo que sugiere un parche inadecuado.
“Un atacante que controle un repositorio de Git o Mercurial enumerado explícitamente por URL en el archivo de un proyecto compositor.json puede usar nombres de rama especialmente diseñados para ejecutar comandos en la máquina que ejecuta la actualización del compositor”, Packagist revelado en un aviso de abril de 2022.
Una explotación exitosa de la falla significaba que las solicitudes para actualizar un paquete podrían haber sido secuestradas para distribuir dependencias maliciosas mediante la ejecución de comandos arbitrarios en el servidor backend que ejecuta la instancia oficial de Packagist.
“Comprometiendo [the backend services] permitiría a los atacantes obligar a los usuarios a descargar dependencias de software de puerta trasera la próxima vez que realicen una instalación nueva o una actualización de un paquete de Composer”, explicó Chauchefoin.
Dicho esto, no hay evidencia de que la vulnerabilidad haya sido explotada hasta la fecha. Se implementaron correcciones en las versiones 1.10.26, 2.2.12 y 2.3.5 de Composer después de que SonarSource informara sobre la falla el 7 de abril de 2022.
El código fuente abierto se ha convertido cada vez más en un objetivo lucrativo de elección para los actores de amenazas debido a la facilidad con la que pueden convertirse en armas contra la cadena de suministro de software.
A principios de abril, SonarSource también detalló una falla de seguridad de 15 años en el repositorio PHP de PEAR que podría permitir que un atacante obtenga acceso no autorizado y publique paquetes no autorizados y ejecute código arbitrario.
“Si bien las cadenas de suministro pueden tomar diferentes formas, una de ellas tiene un impacto significativamente mayor: al obtener acceso a los servidores que distribuyen estos componentes de software de terceros, los actores de amenazas pueden alterarlos para establecerse en los sistemas de sus usuarios”, dijo Chauchefoin. .