Google ha tomado medidas para bloquear anuncios de sitios de comercio electrónico que utilizan el servicio Polyfill.io después de que una empresa china adquiriera el dominio y modificara la biblioteca JavaScript («polyfill.js») para redirigir a los usuarios a sitios maliciosos y fraudulentos.
Más que 110.000 sitios que integran la biblioteca se ven afectados por el ataque a la cadena de suministro, Sansec dicho en un informe del martes.
Polyfill es un biblioteca popular que incorpora soporte para funciones modernas en navegadores web. A principios de febrero, se plantearon preocupaciones tras su compra por parte de Funnull, empresa de red de distribución de contenidos (CDN) con sede en China.
El creador original del proyecto, Andrew Betts, instado propietarios de sitios web que lo eliminen de inmediato, agregando «ningún sitio web hoy requiere ninguno de los polyfills en el polyfill[.]io» y que «la mayoría de las funciones agregadas a la plataforma web son adoptadas rápidamente por todos los principales navegadores, con algunas excepciones que generalmente no se pueden completar de todos modos, como Web Serial y Web Bluetooth».
El desarrollo también impulsó a los proveedores de infraestructura web. Llamarada de nube y Rapidamente Ofrecer puntos finales alternativos para ayudar a los usuarios a alejarse del Polyfill.[.]yo.
«La preocupación es que cualquier sitio web que incorpore un enlace al polyfill original[.]El dominio io ahora dependerá de Funnull para mantener y proteger el proyecto subyacente para evitar el riesgo de un ataque a la cadena de suministro», dijeron los investigadores de Cloudflare Sven Sauleau y Michael Tremante. anotado En el momento.
«Tal ataque ocurriría si el tercero subyacente se ve comprometido o altera el código que se entrega a los usuarios finales de manera nefasta, provocando, en consecuencia, que todos los sitios web que utilizan la herramienta se vean comprometidos».
La firma holandesa de seguridad de comercio electrónico dijo que el dominio «cdn.polyfill[.]io» ha sido descubierto desde entonces inyectando malware que redirige a los usuarios a sitios pornográficos y de apuestas deportivas.
«El código tiene protección específica contra la ingeniería inversa y sólo se activa en dispositivos móviles específicos en horas específicas», dijo. «Tampoco se activa cuando detecta un usuario administrador. También retrasa la ejecución cuando se encuentra un servicio de análisis web, presumiblemente para no terminar en las estadísticas».
c/side, con sede en San Francisco, también emitido una alerta propia, señalando que los mantenedores del dominio agregaron un encabezado de Protección de seguridad de Cloudflare a su sitio entre el 7 y el 8 de marzo de 2024.
Los hallazgos surgen tras un aviso sobre una falla de seguridad crítica que afecta los sitios web de Adobe Commerce y Magento (CVE-2024-34102puntuación CVSS: 9,8) que sigue sin parchearse en gran medida a pesar de que las correcciones están disponibles desde el 11 de junio de 2024.
«De por sí, permite que cualquiera pueda leer archivos privados (como los que tienen contraseñas)», Sansec dicho, que nombró en código a la cadena de exploits CosmicSting. «Sin embargo, combinado con la reciente error de iconv en Linuxse convierte en la pesadilla de seguridad de la ejecución remota de código».
Tiene desde que surgió que terceros pueden obtener acceso de administrador de API sin necesidad de una versión de Linux vulnerable al problema iconv (CVE-2024-2961), lo que lo convierte en un problema aún más grave.