Plusieurs vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es dans des gestionnaires de packages populaires qui, si elles \u00e9taient potentiellement exploit\u00e9es, pourraient \u00eatre utilis\u00e9es \u00e0 mauvais escient pour ex\u00e9cuter du code arbitraire et acc\u00e9der \u00e0 des informations sensibles, y compris le code source et les jetons d’acc\u00e8s, \u00e0 partir de machines compromises.<\/p>\n
Il convient toutefois de noter que les failles obligent les d\u00e9veloppeurs cibl\u00e9s \u00e0 g\u00e9rer un package malveillant en conjonction avec l’un des gestionnaires de packages concern\u00e9s.<\/p>\n
“Cela signifie qu’une attaque ne peut pas \u00eatre lanc\u00e9e directement contre une machine de d\u00e9veloppeur \u00e0 distance et n\u00e9cessite que le d\u00e9veloppeur soit amen\u00e9 \u00e0 charger des fichiers malform\u00e9s”, a d\u00e9clar\u00e9 Paul Gerste, chercheur \u00e0 SonarSource. mentionn\u00e9<\/a>. “Mais pouvez-vous toujours conna\u00eetre et faire confiance aux propri\u00e9taires de tous les packages que vous utilisez \u00e0 partir d’Internet ou des r\u00e9f\u00e9rentiels internes de l’entreprise\u00a0?”<\/p>\n Les gestionnaires de packages se r\u00e9f\u00e8rent \u00e0 syst\u00e8mes<\/a> ou un ensemble d’outils utilis\u00e9s pour automatiser l’installation, la mise \u00e0 niveau et la configuration des d\u00e9pendances tierces n\u00e9cessaires au d\u00e9veloppement d’applications.<\/p>\n Bien qu’il existe des risques de s\u00e9curit\u00e9 inh\u00e9rents aux biblioth\u00e8ques malveillantes qui se dirigent vers les r\u00e9f\u00e9rentiels de packages – n\u00e9cessitant que les d\u00e9pendances soient correctement examin\u00e9es pour se prot\u00e9ger contre les attaques de typosquattage et de confusion des d\u00e9pendances – “l’acte de g\u00e9rer les d\u00e9pendances n’est g\u00e9n\u00e9ralement pas consid\u00e9r\u00e9 comme une op\u00e9ration potentiellement risqu\u00e9e”.<\/p>\n Mais les probl\u00e8mes r\u00e9cemment d\u00e9couverts dans divers gestionnaires de packages soulignent qu’ils pourraient \u00eatre transform\u00e9s en armes par des attaquants pour inciter les victimes \u00e0 ex\u00e9cuter du code malveillant. Les failles ont \u00e9t\u00e9 identifi\u00e9es dans les gestionnaires de packages suivants –<\/p>\n La principale des faiblesses est un injection de commande<\/a> d\u00e9faut dans Composer’s commande de navigation<\/a> qui pourraient \u00eatre exploit\u00e9es pour obtenir l’ex\u00e9cution de code arbitraire en ins\u00e9rant une URL vers un package malveillant d\u00e9j\u00e0 publi\u00e9.<\/p>\n Si le package utilisait des techniques de typosquattage ou de confusion des d\u00e9pendances, cela pourrait potentiellement entra\u00eener un sc\u00e9nario dans lequel l’ex\u00e9cution de la commande de navigation pour la biblioth\u00e8que pourrait conduire \u00e0 la r\u00e9cup\u00e9ration d’une charge utile de l’\u00e9tape suivante qui pourrait ensuite \u00eatre utilis\u00e9e pour lancer d’autres attaques.<\/p>\n Suppl\u00e9mentaire injection d’arguments<\/a> et chemin de recherche non fiable<\/a> les vuln\u00e9rabilit\u00e9s d\u00e9couvertes dans Bundler, Poetry, Yarn, Composer, Pip et Pipenv signifiaient qu’un acteur malveillant pouvait obtenir l’ex\u00e9cution de code au moyen d’un ex\u00e9cutable git contenant des logiciels malveillants ou d’un fichier contr\u00f4l\u00e9 par un attaquant tel qu’un Gemfile utilis\u00e9 pour sp\u00e9cifier les d\u00e9pendances pour Programmes Ruby.<\/p>\n Suite \u00e0 la divulgation responsable le 9 septembre 2021, des correctifs ont \u00e9t\u00e9 publi\u00e9s pour r\u00e9soudre les probl\u00e8mes dans Composer, Bundler, Bower, Poetry, Yarn et Pnpm. Mais Composer, Pip et Pipenv, tous trois affect\u00e9s par la faille de chemin de recherche non fiable, ont choisi de ne pas corriger le bogue.<\/p>\n “Les d\u00e9veloppeurs sont une cible attrayante pour les cybercriminels car ils ont acc\u00e8s aux principaux actifs de propri\u00e9t\u00e9 intellectuelle d’une entreprise\u00a0: le code source”, a d\u00e9clar\u00e9 Gerste. “Les compromettre permet aux attaquants de mener de l’espionnage ou d’int\u00e9grer un code malveillant dans les produits d’une entreprise. Cela pourrait m\u00eame \u00eatre utilis\u00e9 pour lancer des attaques sur la cha\u00eene d’approvisionnement.”<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-experts-chinois-decouvrent-les-details-de-loutil-de-piratage.png\")
<\/a><\/div>\n\n
<\/a><\/div>\n