{"id":1113246,"date":"2024-01-22T18:37:30","date_gmt":"2024-01-22T20:37:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lattaque-mavengate-pourrait-permettre-aux-pirates-de-pirater-java-et-android-via-des-bibliotheques-abandonnees\/"},"modified":"2024-01-22T18:37:34","modified_gmt":"2024-01-22T20:37:34","slug":"lattaque-mavengate-pourrait-permettre-aux-pirates-de-pirater-java-et-android-via-des-bibliotheques-abandonnees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lattaque-mavengate-pourrait-permettre-aux-pirates-de-pirater-java-et-android-via-des-bibliotheques-abandonnees\/","title":{"rendered":"L’attaque MavenGate pourrait permettre aux pirates de pirater Java et Android via des biblioth\u00e8ques abandonn\u00e9es"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Plusieurs biblioth\u00e8ques publiques et populaires abandonn\u00e9es mais toujours utilis\u00e9es dans les applications Java et Android se sont r\u00e9v\u00e9l\u00e9es sensibles \u00e0 une nouvelle m\u00e9thode d’attaque de la cha\u00eene d’approvisionnement logicielle appel\u00e9e MavenGate.<\/p>\n

“L’acc\u00e8s aux projets peut \u00eatre d\u00e9tourn\u00e9 via l’achat de noms de domaine et comme la plupart des configurations de build par d\u00e9faut sont vuln\u00e9rables, il serait difficile, voire impossible, de savoir si une attaque a \u00e9t\u00e9 men\u00e9e”, dit<\/a> dans une analyse publi\u00e9e la semaine derni\u00e8re.<\/p>\n

Une exploitation r\u00e9ussie de ces lacunes pourrait permettre \u00e0 des acteurs malveillants de d\u00e9tourner des artefacts dans les d\u00e9pendances et d’injecter du code malveillant dans l’application, et pire encore, de compromettre le processus de construction via un plugin malveillant.<\/p>\n

La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 mobile a ajout\u00e9 que toutes les technologies bas\u00e9es sur Maven, y compris Gradle, sont vuln\u00e9rables \u00e0 l’attaque et qu’elle a envoy\u00e9 des rapports \u00e0 plus de 200 entreprises, dont Google, Facebook, Signal, Amazon et d’autres.<\/p>\n

Apache Maven est principalement utilis\u00e9<\/a> pour cr\u00e9er et g\u00e9rer des projets bas\u00e9s sur Java, permettant aux utilisateurs de t\u00e9l\u00e9charger et de g\u00e9rer les d\u00e9pendances (qui sont identifi\u00e9es de mani\u00e8re unique par leurs identifiants de groupe), de cr\u00e9er de la documentation et de g\u00e9rer les versions.<\/p>\n

Bien que les r\u00e9f\u00e9rentiels h\u00e9bergeant de telles d\u00e9pendances puissent \u00eatre priv\u00e9<\/a> ou publique<\/a>un attaquant pourrait cibler ces derniers pour mener des attaques d’empoisonnement de la cha\u00eene d’approvisionnement en exploitant les biblioth\u00e8ques abandonn\u00e9es ajout\u00e9es aux r\u00e9f\u00e9rentiels connus.<\/p>\n

Plus pr\u00e9cis\u00e9ment, il s’agit d’acheter le produit p\u00e9rim\u00e9 domaine invers\u00e9<\/a> contr\u00f4l\u00e9 par le propri\u00e9taire de la d\u00e9pendance et obtenant l\u2019acc\u00e8s au groupId.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Un attaquant peut acc\u00e9der \u00e0 un groupId vuln\u00e9rable en faisant valoir ses droits via un enregistrement DNS TXT dans un r\u00e9f\u00e9rentiel o\u00f9 aucun compte g\u00e9rant le groupId vuln\u00e9rable n’existe”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n

“Si un groupId est d\u00e9j\u00e0 enregistr\u00e9 dans le r\u00e9f\u00e9rentiel, un attaquant peut tenter d’acc\u00e9der \u00e0 ce groupId en contactant l’\u00e9quipe d’assistance du r\u00e9f\u00e9rentiel.”<\/p>\n

Pour tester le sc\u00e9nario d’attaque, Oversecured a t\u00e9l\u00e9charg\u00e9 sa propre biblioth\u00e8que de test Android (groupId\u00a0: “com.oversecured”), qui affiche le message toast “Hello World\u00a0!” sur Maven Central (version 1.0), tout en t\u00e9l\u00e9chargeant \u00e9galement deux versions sur JitPack. , o\u00f9 la version 1.0 est une r\u00e9plique de la m\u00eame biblioth\u00e8que publi\u00e9e sur Maven Central.<\/p>\n

Mais la version 1.1 est une copie \u00e9dit\u00e9e \u00ab non fiable \u00bb qui a \u00e9galement le m\u00eame groupId, mais qui pointe vers un r\u00e9f\u00e9rentiel GitHub sous leur contr\u00f4le et est revendiqu\u00e9e en ajoutant un enregistrement DNS TXT pour r\u00e9f\u00e9rencer le nom d’utilisateur GitHub afin de \u00e9tablir une preuve de propri\u00e9t\u00e9<\/a>.<\/p>\n

L’attaque fonctionne ensuite en ajoutant Maven Central et JitPack \u00e0 la liste des r\u00e9f\u00e9rentiels de d\u00e9pendances dans le script de build Gradle. Il convient de noter \u00e0 ce stade que ordre de d\u00e9claration<\/a> d\u00e9termine comment Gradle v\u00e9rifiera les d\u00e9pendances au moment de l’ex\u00e9cution.<\/p>\n

“Lorsque nous avons d\u00e9plac\u00e9 le r\u00e9f\u00e9rentiel JitPack au-dessus de mavenCentral, la version 1.0 a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e depuis JitPack”, ont indiqu\u00e9 les chercheurs. “Le changement de la version de la biblioth\u00e8que en 1.1 a entra\u00een\u00e9 l’utilisation de la version JitPack quelle que soit la position de JitPack dans la liste des r\u00e9f\u00e9rentiels.”<\/p>\n

En cons\u00e9quence, un adversaire cherchant \u00e0 corrompre la cha\u00eene d’approvisionnement logicielle peut soit cibler les versions existantes d’une biblioth\u00e8que en publiant une version sup\u00e9rieure, soit s’attaquer aux nouvelles versions en proposant une version inf\u00e9rieure \u00e0 celle de son homologue l\u00e9gitime.<\/p>\n

Il s’agit d’une autre forme d’attaque par confusion de d\u00e9pendances dans laquelle un attaquant publie un package malveillant dans un r\u00e9f\u00e9rentiel de packages public portant le m\u00eame nom qu’un package dans le r\u00e9f\u00e9rentiel priv\u00e9 pr\u00e9vu.<\/p>\n

\"La<\/a><\/center><\/div>\n

“La plupart des applications ne v\u00e9rifient pas la signature num\u00e9rique des d\u00e9pendances, et de nombreuses biblioth\u00e8ques ne la publient m\u00eame pas”, ajoutent les chercheurs. “Si l’attaquant souhaite rester ind\u00e9tectable le plus longtemps possible, il est logique de publier une nouvelle version de la biblioth\u00e8que avec le code malveillant int\u00e9gr\u00e9 et d’attendre que le d\u00e9veloppeur la mette \u00e0 niveau.”<\/p>\n

Sur les 33 938 domaines analys\u00e9s, 6 170 (18,18 %) se sont r\u00e9v\u00e9l\u00e9s vuln\u00e9rables \u00e0 MavenGate, permettant aux acteurs malveillants de d\u00e9tourner les d\u00e9pendances et d’injecter leur propre code.<\/p>\n

Sonatype, propri\u00e9taire de Maven Central, dit<\/a> la strat\u00e9gie d’attaque d\u00e9crite “n’est pas r\u00e9alisable en raison de l’automatisation en place”, mais a not\u00e9 qu’elle a “d\u00e9sactiv\u00e9 tous les comptes associ\u00e9s aux domaines expir\u00e9s et aux projets GitHub” par mesure de s\u00e9curit\u00e9.<\/p>\n

Il a en outre d\u00e9clar\u00e9 avoir r\u00e9solu une \u00ab r\u00e9gression dans le processus de validation de la cl\u00e9 publique \u00bb qui permettait de t\u00e9l\u00e9charger des artefacts dans le r\u00e9f\u00e9rentiel avec une cl\u00e9 non partag\u00e9e publiquement. Il a \u00e9galement annonc\u00e9 son intention de collaborer avec SigStore pour signer num\u00e9riquement les composants.<\/p>\n

“Le d\u00e9veloppeur final est responsable de la s\u00e9curit\u00e9 non seulement des d\u00e9pendances directes, mais \u00e9galement des d\u00e9pendances transitives”, a d\u00e9clar\u00e9 Oversecured.<\/p>\n

“Les d\u00e9veloppeurs de biblioth\u00e8ques doivent \u00eatre responsables des d\u00e9pendances qu’ils d\u00e9clarent et \u00e9galement \u00e9crire des hachages de cl\u00e9 publique pour leurs d\u00e9pendances, tandis que le d\u00e9veloppeur final ne doit \u00eatre responsable que de ses d\u00e9pendances directes.”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n