Google a pris des mesures pour bloquer les publicités des sites de commerce électronique qui utilisent le service Polyfill.io après qu’une entreprise chinoise a acquis le domaine et modifié la bibliothèque JavaScript (« polyfill.js ») pour rediriger les utilisateurs vers des sites malveillants et frauduleux.
Plus que 110 000 sites qui intègrent la bibliothèque sont impactés par l’attaque de la chaîne d’approvisionnement, Sansec dit dans un rapport de mardi.
Polyfill est un bibliothèque populaire qui intègre la prise en charge des fonctions modernes dans les navigateurs Web. Plus tôt en février, des inquiétudes ont été soulevées suite à son achat par la société chinoise de réseau de diffusion de contenu (CDN) Funnull.
Le créateur original du projet, Andrew Betts, exhorté les propriétaires de sites Web de le supprimer immédiatement, en ajoutant « aucun site Web actuel ne nécessite l’un des polyfills du polyfill »[.]io » et que « la plupart des fonctionnalités ajoutées à la plate-forme Web sont rapidement adoptées par tous les principaux navigateurs, à quelques exceptions près qui ne peuvent généralement pas être polyremplies de toute façon, comme Web Serial et Web Bluetooth ».
Ce développement a également incité les fournisseurs d’infrastructures Web Flare nuageuse et Rapidement pour proposer des points de terminaison alternatifs pour aider les utilisateurs à s’éloigner de Polyfill.io.
« Les inquiétudes portent sur le fait que tout site Web intégrant un lien vers le domaine polyfill.io d’origine s’appuiera désormais sur Funnull pour maintenir et sécuriser le projet sous-jacent afin d’éviter le risque d’une attaque de la chaîne d’approvisionnement », ont déclaré les chercheurs de Cloudflare Sven Sauleau et Michael Tremante. noté à l’époque.
« Une telle attaque se produirait si le tiers sous-jacent était compromis ou modifiait le code fourni aux utilisateurs finaux de manière néfaste, entraînant, par conséquent, la compromission de tous les sites Web utilisant l’outil. »
La société néerlandaise de sécurité du commerce électronique a déclaré que le domaine « cdn.polyfill[.]« io » a depuis été surpris en train d’injecter des logiciels malveillants qui redirigent les utilisateurs vers des sites de paris sportifs et pornographiques.
« Le code dispose d’une protection spécifique contre l’ingénierie inverse et ne s’active que sur des appareils mobiles spécifiques à des heures spécifiques », indique-t-il. « Il ne s’active pas non plus lorsqu’il détecte un utilisateur administrateur. Il retarde également l’exécution lorsqu’un service d’analyse Web est trouvé, probablement pour ne pas se retrouver dans les statistiques. »
C/side, basé à San Francisco, a également émis une alerte à part entière, notant que les responsables du domaine ont ajouté un en-tête Cloudflare Security Protection à leur site entre le 7 et le 8 mars 2024.
Les résultats font suite à un avis concernant une faille de sécurité critique affectant les sites Web Adobe Commerce et Magento (CVE-2024-34102score CVSS : 9,8) qui reste largement non corrigé malgré la disponibilité de correctifs depuis le 11 juin 2024.
« En soi, cela permet à n’importe qui de lire des fichiers privés (tels que ceux contenant des mots de passe) », Sansec dit, qui a donné le nom de code à la chaîne d’exploit CosmicSting. « Cependant, combiné à la récente bug d’iconv sous Linuxcela se transforme en un cauchemar de sécurité lié à l’exécution de code à distance. »
Il a depuis qu’il est apparu que des tiers peuvent obtenir un accès administrateur à l’API sans avoir besoin d’une version Linux vulnérable au problème iconv (CVE-2024-2961), ce qui en fait un problème encore plus grave.