Zneužitie, ktoré umožňuje bezpečnostnému výskumníkovi prístup k spoločnostiam Apple, Microsoft a PayPal

Výskumník v oblasti bezpečnosti Alex Birsan objavil chybu zabezpečenia, ktorá mu umožnila spustiť kód na serveroch vlastnených spoločnosťami Apple, Microsoft, PayPal a viac ako 30 ďalších spoločností (Naprieč Spiaci počítač). Vykorisťovanie je tiež klamne jednoduché, čo je vec, pred ktorou sa musia vedieť chrániť mnohí veľkí vývojári softvéru.

Využitie využíva relatívne jednoduchý trik: nahradenie súkromných balíkov verejnými. Keď spoločnosti vytvárajú softvér, často používajú otvorený zdrojový kód napísaný inými ľuďmi, takže netrávia čas a zdroje riešením problému, ktorý už bol vyriešený. Pracoval som napríklad na webových stránkach, ktoré museli prevádzať textové súbory na webové stránky v reálnom čase. Namiesto písania kódu, ktorý by sme si to robili sami, môj tím našiel program, ktorý to urobil, a vložil ho na našu stránku.

Tento verejne dostupný softvér sa nachádza v úložiskách ako npm pre NodeJS, PyPi pre Python a RubyGems pre Ruby. Stojí za zmienku, že Pirsan zistil, že tieto sklady možno použiť na uskutočnenie tohto útoku, neobmedzuje sa však iba na tieto tri.

Okrem týchto verejných balíkov spoločnosti často vytvárajú aj svoje vlastné balíčky, ktoré si nesťahujú, ale distribuujú medzi svojich vývojárov. Tu našiel Pirsan dieru. Zistite, či dokáže nájsť názvy súkromných balíkov, ktoré spoločnosti používajú (úloha, ktorá sa vo väčšine prípadov ukáže byť veľmi jednoduchá), môže nahrať svoj kód do rovnomenného verejného úložiska a spoločnosti budú používať automatizované systémy namiesto toho s jeho kódom. Nielenže stiahnu jeho balík namiesto správneho, ale tiež v ňom spustia kód.

Aby ste si to vysvetlili na príklade, predstavte si, že máte v počítači dokument Word, ale keď ho otvoríte, počítač povie: „Hej, na internete je ďalší dokument Word s rovnakým názvom. Otvorím ho namiesto toho. “ Teraz si predstavte, že dokument Word môže potom automaticky vykonať zmeny vo vašom počítači. Nie je to skvelá situácia.

READ  Je to oficiálne, Nintendo stiahlo Super Smash Bros. Od EVO 2022

Zdá sa, že spoločnosti súhlasia s tým, že problém je vážny. Vo svojej pozícii v priemere, Pearsan napísal, že „väčšina udelených faulných odmien je nastavená na maximum prípustné podľa politiky každého programu, niekedy vyššie.“ Pre tých, ktorí nie sú oboznámení, sú Fault Rewards peňažné odmeny, ktoré spoločnosti vyplácajú ľuďom, ktorí nájdu vážne chyby. Čím závažnejšia je chyba, tým viac zaplatia.

Podľa Pearsana bola väčšina spoločností, ktoré som ohľadom zneužitia kontaktovala, schopná rýchlo opraviť svoje systémy tak, aby neboli zraniteľné. Microsoft má dokonca Dajte dohromady biely list papiera Vysvetlenie, ako môžu správcovia systému chrániť svoje spoločnosti pred týmito typmi útokov, je však úprimne prekvapujúce, že trvalo tak dlho, kým niekto zistil, že tieto obrovské spoločnosti sú voči tomuto typu útoku zraniteľné. Našťastie to nie je ten druh príbehu, ktorý by musel viesť k okamžitej aktualizácii všetkých zariadení vo vašej domácnosti, ale zdá sa, že to bude dlhý týždeň pre správcov systému, ktorí teraz musia zmeniť spôsob, akým ich spoločnosť používa všeobecný kód.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *