En sikkerhedsforsker var i stand til at bryde de interne systemer i over 35 store virksomheder, herunder Apple, Microsoft og PayPal, ved hjælp af et softwareforsyningskædeangreb (via Blødende computer ).
Sikkerhedsforsker Alex Birsan var i stand til at udnytte en unik designfejl i nogle open source-økosystemer kaldet 'afhængighedsforvirring' til at angribe systemerne hos virksomheder som Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla og Uber.
Angrebet involverede upload af malware til open source-depoter inklusive PyPI, npm og RubyGems, som derefter automatisk blev distribueret nedstrøms til de forskellige virksomheders interne applikationer. Ofrene modtog automatisk de ondsindede pakker, uden at der kræves nogen social engineering eller trojanske heste.
Birsan var i stand til at oprette forfalskede projekter ved at bruge de samme navne på open source-lagre, som hver indeholdt en ansvarsfraskrivelse, og fandt ud af, at applikationer automatisk ville trække offentlige afhængighedspakker uden at skulle have nogen handling fra udvikleren. I nogle tilfælde, såsom med PyPI-pakker, vil enhver pakke med en højere version blive prioriteret, uanset hvor den var placeret. Dette gjorde det muligt for Birsan at angribe softwareforsyningskæden hos flere virksomheder.
Efter at have verificeret, at hans komponent med succes havde infiltreret virksomhedens netværk, rapporterede Birsan sine resultater til det pågældende firma, og nogle belønnede ham med en bug-bounty. Microsoft tildelte ham sit højeste fejlbeløb på $40.000 og udgav en hvidbog om dette sikkerhedsproblem, mens Apple fortalte Bleeping Computer at Birsan vil modtage en belønning via Apple Security Bounty-programmet for ansvarligt at afsløre problemet. Birsan har nu tjent over $130.000 gennem bug bounty-programmer og forhåndsgodkendte penetrationstestordninger.
En fuldstændig forklaring på metoden bag angrebet er fås hos Alex Birsan Medium side .
Tags: cybersikkerhed, bug bounty
Populære Indlæg