Μια ευπάθεια Dependency Confusion βρέθηκε σε ένα αρχειοθετημένο Apache Project.
Δείτε επίσης: Apache Struts: Χάκερς εκμεταλλεύονται μια κρίσιμη ευπάθεια
Σύμφωνα με νέα δεδομένα της Legit Security, που έκανε την ανακάλυψη, το εύρημα υπογραμμίζει τη σημασία του ελέγχου τρίτων έργων και εξαρτήσεων, ιδιαίτερα εκείνων που αρχειοθετούνται και δυνητικά παραμελούνται όσον αφορά τις ενημερώσεις κώδικα ασφαλείας.
Η τεχνική δημοσίευση, που δημοσιεύθηκε σήμερα, υποδηλώνει ότι παρά την κοινή πρακτική να αφήνονται ανέγγιχτα τα αρχειοθετημένα έργα με τη νοοτροπία ότι «αν δεν είναι χαλασμένο, μην το διορθώνεις», αυτά τα έργα συχνά περιέχουν τρωτά σημεία που δεν αντιμετωπίζονται.
Η ευπάθεια Dependency Confusion, γνωστή και ως «πειρατεία εξάρτησης» ή «επίθεση αντικατάστασης», επιτρέπει στους εισβολείς να εξαπολύσουν επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού διεισδύοντας σε ευάλωτες εξαρτήσεις σε λογισμικό ανοιχτού κώδικα.
Αυτό το exploit προκύπτει όταν γίνεται αναφορά σε ένα ιδιωτικό/τοπικό πακέτο, το οποίο λαμβάνει κατά λάθος ένα κακόβουλο πακέτο με παρόμοιο όνομα από το δημόσιο μητρώο, λόγω εσφαλμένων διαμορφώσεων στους διαχειριστές πακέτων.
Η ομάδα Legit έδειξε αυτήν την ευπάθεια Dependency Confusion, που εκμεταλλεύεται την εσφαλμένη διαμόρφωση στο “Cordova App Harness“, ένα αρχειοθετημένο Apache Project.
Δείτε ακόμα: Το Lucifer DDoS malware επιτίθεται σε διακομιστές Apache
Ανεβάζοντας ένα κακόβουλο πακέτο με το ίδιο όνομα με υψηλότερη έκδοση, κατέλαβαν με επιτυχία τη βιβλιοθήκη, οδηγώντας σε πάνω από 100 λήψεις μέσα σε τρεις ημέρες. Αυτό υπογραμμίζει τη συνεχιζόμενη χρήση αρχειοθετημένων έργων και τους πιθανούς κινδύνους για την ασφάλεια που ενέχουν.
Κατά την εκμετάλλευση, οι εισβολείς θα μπορούσαν να εκτελέσουν αυθαίρετο κώδικα στον κεντρικό υπολογιστή, με αποτέλεσμα πιθανώς την απομακρυσμένη εκτέλεση κώδικα (RCE) εντός του περιβάλλοντος παραγωγής.
Η ομάδα Legit ανέφερε το ζήτημα στον Apache στις 24 Μαρτίου. Μέσα σε μια ημέρα, η Apache αναγνώρισε την αναφορά και αποδέχτηκε την προτεινόμενη λύση της Legit να κρατήσει μια δημόσια έκδοση του ιδιωτικού πακέτου για να αποτρέψει την εκμετάλλευση από τους εισβολείς. Η ομάδα Legit τόνισε ότι η σωστή διαμόρφωση των διαχειριστών πακέτων είναι απαραίτητη για τον μετριασμό των κινδύνων λόγω ευπάθειας Dependency Confusion.
Οι ερευνητές ασφαλείας τόνισαν τη σημασία των προληπτικών μέτρων ασφαλείας και των βέλτιστων πρακτικών, συμπεριλαμβανομένων τακτικών σαρώσεων ασφαλείας, αντικατάστασης καταργημένων έργων, ασφαλούς διαμόρφωσης εξαρτήσεων, εκπαίδευσης προγραμματιστών και ενημέρωσης σχετικά με τις αναδυόμενες απειλές και τις βέλτιστες πρακτικές.
Υιοθετώντας αυτές τις συστάσεις, οι οργανισμοί μπορούν να ενισχύσουν τη στάση ασφαλείας τους και να προστατεύσουν τα οικοσυστήματα λογισμικού τους από πιθανές παραβιάσεις και τρωτά σημεία.
Δείτε επίσης: Νέες ευπάθειες στις υπηρεσίες Azure HDInsight Spark, Kafka και Hadoop
Η ευπάθεια Dependency Confusion, αναφέρεται σε μια τεχνική επίθεσης όπου ο επιτιθέμενος εκμεταλλεύεται τον τρόπο με τον οποίο οι διαχειριστές πακέτων χειρίζονται τις εξαρτήσεις των πακέτων. Αυτό συμβαίνει όταν ένα ιδιωτικό πακέτο έχει το ίδιο όνομα με ένα δημόσιο πακέτο σε ένα αποθετήριο πακέτων. Όταν ένα σύστημα προσπαθεί να εγκαταστήσει ή να ενημερώσει ένα πακέτο, μπορεί να κατεβάσει και να χρησιμοποιήσει το λάθος πακέτο, αν το δημόσιο πακέτο έχει μια νεότερη έκδοση από το ιδιωτικό. Αυτό μπορεί να οδηγήσει σε μη επιθυμητή συμπεριφορά, συμπεριλαμβανομένης της εκτέλεσης κακόβουλου κώδικα. Για να αποφύγετε αυτήν την ευπάθεια, είναι σημαντικό να χρησιμοποιείτε μια στρατηγική διαχείρισης εξαρτήσεων που περιλαμβάνει την επαλήθευση των πακέτων πριν από την εγκατάσταση ή την ενημέρωση. Επιπλέον, οι οργανισμοί μπορούν να χρησιμοποιήσουν ιδιωτικά αποθετήρια για την αποθήκευση των πακέτων τους, ώστ νεα μην είναι διαθέσιμα στο κοινό.
Πηγή: infosecurity-magazine
