Un trio de failles de sécurité a été découvert dans le Cosses de cacao gestionnaire de dépendances pour les projets Swift et Objective-C Cocoa qui pourrait être exploité pour organiser des attaques sur la chaîne d’approvisionnement de logiciels, exposant ainsi les clients en aval à de graves risques.
Les vulnérabilités permettent à « tout acteur malveillant de revendiquer la propriété de milliers de pods non réclamés et d’insérer du code malveillant dans de nombreuses applications iOS et macOS les plus populaires », ont déclaré Reef Spektor et Eran Vaknin, chercheurs en sécurité de l’information d’EVA. dit dans un rapport publié aujourd’hui.
La société israélienne de sécurité des applications a déclaré que les trois problèmes ont depuis été résolus. corrigé par CocoaPods à partir d’octobre 2023. Il réinitialise également toutes les sessions utilisateur à ce moment-là en réponse aux divulgations.
L’une des vulnérabilités est CVE-2024-38368 (score CVSS : 9,3), qui permet à un attaquant d’abuser du « Réclamez vos dosettes » traiter et prendre le contrôle d’un paquet, leur permettant ainsi de falsifier le code source et d’introduire des modifications malveillantes. Cependant, cela nécessitait que tous les responsables précédents soient supprimés du projet.
Les racines du problème remontent à 2014, lorsqu’une migration vers le Serveur de liaison laissé des milliers de paquets inconnus (ou non réclamés), permettant à un attaquant d’utiliser une API publique pour revendiquer des pods et une adresse e-mail disponible dans le code source de CocoaPods (« [email protected] ») pour prendre le contrôle.
Le deuxième bug est encore plus critique (CVE-2024-38366, score CVSS : 10,0) et profite d’un workflow de vérification des e-mails non sécurisé pour exécuter du code arbitraire sur le serveur Trunk, qui pourrait ensuite être utilisé pour manipuler ou remplacer les packages.
Le service a également identifié un deuxième problème dans le composant de vérification de l’adresse e-mail (CVE-2024-38367, score CVSS : 8,2) qui pourrait inciter un destinataire à cliquer sur un lien de vérification apparemment inoffensif, alors qu’en réalité, il redirige le demande à un domaine contrôlé par un attaquant afin d’accéder aux jetons de session d’un développeur.
Pour aggraver les choses, cela peut être transformé en une attaque de prise de contrôle de compte sans clic en usurpant un en-tête HTTP, c’est-à-dire en modifiant le X-Forwarded-Hôte champ d’en-tête – et tirer parti d’outils de sécurité de messagerie mal configurés.
« Nous avons constaté que presque tous les propriétaires de pods sont enregistrés avec leur adresse e-mail organisationnelle sur le serveur Trunk, ce qui les rend vulnérables à notre vulnérabilité de prise de contrôle sans clic », ont déclaré les chercheurs.
Ce n’est pas la première fois que CocoaPods est sous le scanner. En mars 2023, Checkmarx révélé qu’un sous-domaine abandonné associé au gestionnaire de dépendances (« cdn2.cocoapods[.]org ») aurait pu être détourné par un adversaire via les pages GitHub dans le but d’héberger ses charges utiles.