No Comments

Forscher dringen in Microsoft, Apple, PayPal und Netflix ein… Verwenden Sie nur Open Source

 

Sicherheitsforscher Alex Birsan entdeckt Eine sehr einfache und merkwürdige neue Art, einen Supply-Chain-Angriff durchzuführen – und noch ernster gelang es ihm, mit seinem Proof of Concept große Namen auf dem Technologiemarkt zu erreichen. Microsoft, Apple, Uber, Netflix, PayPal, Shopify und Tesla sind nur einige Namen, die von dem “harmlosen Angriff” betroffen sind. Insgesamt waren 35 Unternehmen anfällig.


Im Gegensatz zu dem, was kürzlich mit SolarWinds passiert ist, musste Birsan keine offensiven Techniken anwenden oder in eine IT-Plattform einbrechen, die von multinationalen Lieferanten gewartet wird. Alles was er tat war Nutzen Sie die Tatsache, dass viele Anwendungen und Onlinedienste modifizierte Versionen von Open Source-Projekten verwenden, einschließlich Repositorys wie PyPI, npm und RubyGems.

Die Idee kam auf, als der Experte Zugriff auf ein JSON-Manifest erhielt, das zeigte, dass PayPal intern ein benutzerdefiniertes npm-Paket namens „Analytics-Paypal“ verwendete. Fragte sich Birson Was würde passieren, wenn die Systeme des Unternehmens ein anderes Repository mit demselben Namen finden würden? und mit einem neueren Update-Datum auf GitHub und einer gefälschten Edition des Pakets mit einem verfälschten Skript.

(Reproduktion / Alex Birson)

Bingo! Das System ignoriert das auf einem geschlossenen Server gespeicherte angepasste Paket und verlässt sich auf das öffentlich auf GitHub gehostete, möglicherweise Malware. Alle von Birson erstellten “Klone” hatten die Meldung, dass der Inhalt nur “für Sicherheitsforschungszwecke” bestimmt sei, was Unternehmen jedoch nicht davon abhielt, ihn versehentlich zu verwenden.

Ich bin verwirrt

Für den Angriff nannte der Forscher es “Abhängigkeitsverwirrung” und konnte beweisen, dass er damit sensible Daten von den betroffenen Servern filtern kann. “Die Verwirrung der Sucht unterscheidet sich stark von Tippfehlern oder Brandjacking, da keine manuelle Eingabe durch das Opfer erforderlich ist”, erklärt er.

“Sicherheitslücken oder Konstruktionsfehler in automatisierten Konstruktions- oder Installationswerkzeugen können dazu führen öffentliche Einrichtungen werden mit internen Einrichtungen mit genau demselben Namen verwechselt”, Schließt er.

Birsons Entdeckungen brachte ihm insgesamt $ 130.000 (ungefähr R $ 699.000) an Belohnungen ein von Kopfgeld Bug. Sowohl Microsoft als auch Yelp haben Ankündigungen veröffentlicht, wonach sie ihre Paketmanager neu konfiguriert haben, um künftig weitere Verwirrung zu vermeiden. Apple und PayPal, die von Bleeping Computer kontaktiert wurden, bestätigten die angebotene Belohnung, gaben jedoch keine weiteren Details zu dem Vorfall bekannt.


Quelle: Bleeping Computer

See the original post at: https://thehack.com.br/pesquisador-invade-microsoft-apple-paypal-e-netflix-usando-so-codigo-aberto/?rand=48891

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.