Nagawa ng isang security researcher na labagin ang mga panloob na sistema ng mahigit 35 pangunahing kumpanya, kabilang ang Apple, Microsoft, at PayPal, gamit ang isang software supply chain attack (sa pamamagitan ng Bleeping Computer ).
Pananaliksik sa seguridad Alex Birsan ay nagawang samantalahin ang isang natatanging depekto sa disenyo sa ilang open-source na ecosystem na tinatawag na 'dependency confusion' para atakehin ang mga system ng mga kumpanya gaya ng Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla, at Uber.
Kasama sa pag-atake ang pag-upload ng malware sa mga open source na repository kabilang ang PyPI, npm, at RubyGems, na pagkatapos ay awtomatikong ibinahagi sa ibaba ng agos sa mga panloob na aplikasyon ng iba't ibang kumpanya. Awtomatikong natanggap ng mga biktima ang mga nakakahamak na pakete, nang walang kinakailangang social engineering o mga trojan.
Nakagawa si Birsan ng mga pekeng proyekto gamit ang parehong mga pangalan sa mga open-source na repository, bawat isa ay naglalaman ng mensahe ng disclaimer, at nalaman na awtomatikong kukuha ang mga application ng mga public dependency package, nang hindi nangangailangan ng anumang aksyon mula sa developer. Sa ilang mga kaso, tulad ng sa mga pakete ng PyPI, ang anumang pakete na may mas mataas na bersyon ay magiging priyoridad saanman ito matatagpuan. Ito ay nagbigay-daan sa Birsan na matagumpay na atakehin ang software supply chain ng maraming kumpanya.
Nang ma-verify na matagumpay na nakapasok ang kanyang component sa corporate network, iniulat ni Birsan ang kanyang mga natuklasan sa pinag-uusapang kumpanya, at binigyan siya ng ilan ng isang bug bounty. Iginawad sa kanya ng Microsoft ang pinakamataas nitong halaga ng bug bounty na $40,000 at naglabas ng puting papel sa isyung ito sa seguridad, habang sinabi ng Apple BleepingComputer na ang Birsan ay makakatanggap ng reward sa pamamagitan ng Apple Security Bounty program para sa responsableng pagsisiwalat ng isyu. Ang Birsan ay nakakuha na ngayon ng mahigit $130,000 sa pamamagitan ng mga bug bounty program at pre-approved penetration testing arrangements.
Ang isang buong paliwanag ng pamamaraan sa likod ng pag-atake ay available sa Alex Birsan's Katamtaman pahina .
Mga tag: cybersecurity , bug bounty
Patok Na Mga Post