En säkerhetsforskare lyckades bryta mot de interna systemen hos över 35 stora företag, inklusive Apple, Microsoft och PayPal, med hjälp av en attack från mjukvaruförsörjningskedjan (via Pipande dator ).
Säkerhetsforskare Alex Birsan kunde utnyttja ett unikt designfel i vissa ekosystem med öppen källkod som kallas 'beroendeförvirring' för att attackera systemen hos företag som Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla och Uber.
Attacken innebar att skadlig programvara laddades upp till förråd med öppen källkod inklusive PyPI, npm och RubyGems, som sedan automatiskt distribuerades nedströms till de olika företagens interna applikationer. Offren fick automatiskt de skadliga paketen, utan att någon social ingenjörskonst eller trojaner krävdes.
Birsan kunde skapa förfalskade projekt med samma namn på arkiv med öppen källkod, som var och en innehöll ett friskrivningsmeddelande, och fann att applikationer automatiskt skulle dra offentliga beroendepaket utan att behöva göra någon åtgärd från utvecklaren. I vissa fall, som med PyPI-paket, skulle alla paket med en högre version prioriteras oavsett var de befinner sig. Detta gjorde det möjligt för Birsan att framgångsrikt attackera programvarans leveranskedja för flera företag.
Efter att ha verifierat att hans komponent framgångsrikt hade infiltrerat företagsnätverket, rapporterade Birsan sina fynd till företaget i fråga, och några belönade honom med en buggpremie. Microsoft tilldelade honom sitt högsta buggprisbelopp på $40 000 och släppte en vitbok om denna säkerhetsfråga, medan Apple berättade Bleeping Computer att Birsan kommer att få en belöning via Apple Security Bounty-programmet för att ha avslöjat problemet på ett ansvarsfullt sätt. Birsan har nu tjänat över 130 000 $ genom bug-bounty-program och förgodkända arrangemang för penetrationstestning.
En fullständig förklaring av metodiken bakom attacken är finns hos Alex Birsan Medium sida .
Etiketter: cybersäkerhet , buggpremie
Populära Inlägg