Popüler paket yöneticilerinde, potansiyel olarak kötüye kullanılması durumunda keyfi kod çalıştırmak ve güvenliği ihlal edilmiş makinelerden kaynak kodu ve erişim belirteçleri dahil olmak üzere hassas bilgilere erişmek için kötüye kullanılabilecek birden fazla güvenlik açığı açıklandı.
Bununla birlikte, kusurların, hedeflenen geliştiricilerin, etkilenen paket yöneticilerinden biriyle birlikte kötü amaçlı bir paketi işlemesini gerektirdiğini belirtmekte fayda var.
SonarSource araştırmacısı Paul Gerste, “Bu, bir geliştirici makinesine uzaktan doğrudan bir saldırı başlatılamayacağı ve geliştiricinin kandırılarak hatalı biçimlendirilmiş dosyaları yüklemesini gerektirdiği anlamına geliyor” dedim. “Fakat internetten veya şirket içi depolardan kullandığınız tüm paketlerin sahiplerini her zaman tanıyabilir ve güvenebilir misiniz?”
Paket yöneticileri başvurur sistemler veya uygulama geliştirmek için gereken üçüncü taraf bağımlılıklarını yüklemeyi, yükseltmeyi ve yapılandırmayı otomatikleştirmek için kullanılan bir dizi araç.
Hileli kitaplıkların depoları paketlemek için yol almalarında doğal güvenlik riskleri olsa da – yazım hatası ve bağımlılık karışıklığı saldırılarına karşı koruma sağlamak için bağımlılıkların uygun şekilde incelenmesini gerektirir – “bağımlılıkları yönetme eylemi genellikle potansiyel olarak riskli bir işlem olarak görülmez.”
Ancak çeşitli paket yöneticilerinde yeni keşfedilen sorunlar, bunların saldırganlar tarafından kurbanları kötü niyetli kod yürütmeleri için kandırmak için silahlandırılabileceğinin altını çiziyor. Kusurlar aşağıdaki paket yöneticilerinde tespit edilmiştir –
- Besteci 1.x < 1.10.23 ve 2.x < 2.1.9
- Paketleyici < 2.2.33
- Yay < 1.8.13
- şiir < 1.1.9
- İplik < 1.22.13
- pnpm < 6.15.1
- Pip (düzeltme yok) ve
- Pipenv (düzeltme yok)
Zayıf yönlerin başında bir komut enjeksiyonu bestecinin kusuru gözat komutu zaten yayınlanmış bir kötü amaçlı pakete bir URL ekleyerek rastgele kod yürütme elde etmek için kötüye kullanılabilir.
Paket, yazım hatası veya bağımlılık karışıklığı tekniklerini kullanırsa, kitaplık için gözat komutunu çalıştırmanın, daha sonra başka saldırılar başlatmak için kullanılabilecek bir sonraki aşama yükünün alınmasına yol açabileceği bir senaryoyla sonuçlanabilir.
Ek olarak argüman enjeksiyonu ve güvenilmeyen arama yolu Bundler, Poetry, Yarn, Composer, Pip ve Pipenv’de keşfedilen güvenlik açıkları, kötü bir aktörün kötü amaçlı yazılım yüklü bir git yürütülebilir dosyası veya bağımlılıkları belirtmek için kullanılan Gemfile gibi saldırgan kontrollü bir dosya aracılığıyla kod yürütme elde edebileceği anlamına geliyordu. Ruby programları.
9 Eylül 2021’deki sorumlu açıklamanın ardından Composer, Bundler, Bower, Poetry, Yarn ve Pnpm’deki sorunları gidermek için düzeltmeler yayınlandı. Ancak, üçü de güvenilmeyen arama yolu kusurundan etkilenen Composer, Pip ve Pipenv, hatayı gidermemeyi seçti.
Gerste, “Geliştiriciler, siber suçlular için çekici bir hedef çünkü bir şirketin temel fikri mülkiyet varlıklarına erişimleri var: kaynak kodu” dedi. “Onlardan ödün vermek, saldırganların casusluk yapmasına veya bir şirketin ürünlerine kötü amaçlı kod yerleştirmesine olanak tanır. Bu, tedarik zinciri saldırılarını gerçekleştirmek için bile kullanılabilir.”
