Un cercetător în domeniul securității a reușit să spargă sistemele interne ale a peste 35 de companii majore, inclusiv Apple, Microsoft și PayPal, folosind un atac al lanțului de aprovizionare cu software (prin Bleeping Computer ).
Cercetator de securitate Alex Birsan a reușit să exploateze o defecțiune unică de design în unele ecosisteme open-source numită „confuzie de dependență” pentru a ataca sistemele unor companii precum Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla și Uber.
Atacul a implicat încărcarea de malware în depozite open source, inclusiv PyPI, npm și RubyGems, care au fost apoi distribuite automat în aval în aplicațiile interne ale diferitelor companii. Victimele au primit automat pachetele rău intenționate, fără a fi necesare inginerie socială sau troieni.
Birsan a reușit să creeze proiecte contrafăcute folosind aceleași nume pe arhivele open-source, fiecare conținând un mesaj de declinare a răspunderii și a constatat că aplicațiile ar scoate automat pachete de dependențe publice, fără a fi nevoie de nicio acțiune din partea dezvoltatorului. În unele cazuri, cum ar fi cu pachetele PyPI, orice pachet cu o versiune superioară ar fi prioritizat, indiferent de locul în care s-ar afla. Acest lucru i-a permis lui Birsan să atace cu succes lanțul de aprovizionare cu software al mai multor companii.
După ce a verificat că componenta sa s-a infiltrat cu succes în rețeaua corporativă, Birsan a raportat constatările sale companiei în cauză, iar unii l-au răsplătit cu o recompensă pentru erori. Microsoft i-a acordat cea mai mare recompensă pentru erori de 40.000 USD și a lansat o carte albă despre această problemă de securitate, în timp ce Apple a spus BleepingComputer că Birsan va primi o recompensă prin programul Apple Security Bounty pentru dezvăluirea responsabilă a problemei. Birsan a câștigat acum peste 130.000 USD prin programele de recompense pentru erori și aranjamentele de testare de penetrare pre-aprobate.
O explicație completă a metodologiei din spatele atacului este disponibil la Alex Birsan Mediu pagină .
Etichete: securitate cibernetică, recompensă pentru erori
Posturi Populare