Turvauurija suutis tarkvara tarneahela rünnaku abil rikkuda enam kui 35 suure ettevõtte, sealhulgas Apple'i, Microsofti ja PayPali sisesüsteeme (kaudu Piiksuv arvuti ).
Turvalisuse uurija Alex Birsan suutis ära kasutada unikaalset disainiviga mõnes avatud lähtekoodiga ökosüsteemis, mida nimetatakse sõltuvussegaduseks, et rünnata selliste ettevõtete süsteeme nagu Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla ja Uber.
Rünnak hõlmas pahavara üleslaadimist avatud lähtekoodiga hoidlatesse, sealhulgas PyPI, npm ja RubyGems, mis seejärel jaotati automaatselt allavoolu erinevate ettevõtete siserakendustesse. Ohvrid said pahatahtlikud paketid automaatselt kätte, ilma sotsiaalse manipuleerimise või troojalasteta.
Birsan suutis luua võltsprojekte, kasutades avatud lähtekoodiga hoidlates samu nimesid, millest igaüks sisaldas lahtiütlemissõnumit, ja leidis, et rakendused tõmbavad automaatselt avaliku sõltuvusega paketid, ilma et oleks vaja arendajalt midagi teha. Mõnel juhul, näiteks PyPI-pakettide puhul, eelistatakse kõrgema versiooniga pakette, olenemata selle asukohast. See võimaldas Birsanil edukalt rünnata mitme ettevõtte tarkvara tarneahelat.
Pärast kontrollimist, et tema komponent oli edukalt ettevõtte võrku imbunud, teatas Birsan oma leidudest kõnealusele ettevõttele ja mõned premeeris teda vearahaga. Microsoft määras talle suurima veahüvitise summa 40 000 dollarit ja avaldas selle turvaprobleemi kohta valge raamatu, samal ajal kui Apple ütles BleepingComputer et Birsan saab Apple Security Bounty programmi kaudu preemia probleemi vastutustundliku avalikustamise eest. Birsan on nüüd teeninud üle 130 000 dollari vearaha programmide ja eelnevalt heakskiidetud läbitungimise testimise korralduste kaudu.
Rünnaku aluseks oleva metoodika täielik selgitus on saadaval Alex Birsani juures Keskmine lehel .
Sildid: küberturvalisus , bug bounty
Lemmik Postitused