На протяжении пары последних месяцев «белому», или этическому, хакеру Алексу Бирсану удалось взломать несколько десятков крупных компаний. Об этом ИБ-исследователь сообщил в своем блоге на площадке Medium.
«Жертвами» Бирсана стали Apple, Microsoft, PayPal, Tesla, Yelp, Uber и другие бренды Кремниевой долины. Свою атаку хакер назвал «путаницей зависимостей».
Бирсан заметил, что многие технологические компании пользуются репозиториями с открытым исходным кодом, например, PyPI, npm и RubyGems. Тогда он загрузил в них пакет с некими программами, подделав их название таким образом, чтобы оно совпадало с названием используемого IT-гигантами программного обеспечения. При этом он указал более «новую» версию софта, чтобы система решила, что вышло обновление и автоматически его скачала. Это возможно из-за путаницы в зависимости файлов репозитория.
Эта атака не требует использования методов социальной инженерии и вмешательства злоумышленника, кроме момента загрузки поддельного ПО. Если бы данной уязвимостью воспользовался реальный преступник, то он мог бы загрузить вирус во внутренние системы десятков компаний одновременно, а затем использовать зловред в своих целях. Портал Business Insider назвал такой способ «удивительно простой тактикой».
После того, как Бирсан сообщил взломанным им компаниям о найденных уязвимостях, он получил в общей сложности $130 тыс. в рамках программы Bug Bounty. На текущий момент все бреши в системе безопасности устранены.
Последствия этой атаки, если бы она была осуществлена преступником, могли быть довольно серьезными, поскольку пострадавшая компания в основном импортирует в свою систему мошеннический код из репозитория, контролируемого злоумышленником, рассказал «Газете.Ru» старший исследователь безопасности Avast Мартин Хрон.
По словам Хрона, проблема «путаницы зависимостей» может привести к атаке на цепочку поставок или краже данных, а потому носит очень серьезный характер.
Это подтверждается тем фактом, что большинство затронутых компаний сделали максимальные выплаты в пользу Бирсана за выявленные ошибки.
«Этим эксплойтом, или, скорее, ошибкой, очень легко злоупотреблять, как это и было доказано упомянутым исследователем. Единственное требование – знать, какие имена сборок использует нужная компания. Обычно это довольно легко можно узнать, используя общедоступную информацию или меняя сам продукт. Остальное действительно просто, поскольку многие из этих общедоступных репозиториев не проводят никаких проверок безопасности: любой может просто отправить и зарегистрировать в них новую сборку», — заявил эксперт.
Ранее стало известно, что в популярном браузере Google Chrome были обнаружены сразу три уязвимости, каждая из которых могла быть использована злоумышленниками для атак на пользователей.