Araştırmacılar, arşivlenmiş bir Apache projesini etkileyen bir bağımlılık karışıklığı güvenlik açığı belirlediler. Cordova Uygulama Koşumu.
Bağımlılık karışıklığı saldırıları, paket yöneticilerinin özel kayıtlardan önce genel depoları kontrol etmesi ve böylece bir tehdit aktörünün aynı adı taşıyan kötü amaçlı bir paketi genel paket deposunda yayınlamasına izin vermesi nedeniyle gerçekleşir.
Bu, paket yöneticisinin sahte paketi amaçlanan özel depo yerine yanlışlıkla genel depodan indirmesine neden olur. Başarılı olursa, paketi yükleyen tüm alt müşterilerin kurulması gibi ciddi sonuçlar doğurabilir.
Bulut güvenlik şirketi Orca tarafından bulut ortamlarında depolanan npm ve PyPI paketlerinin Mayıs 2023’te yapılan analizi, kuruluşların yaklaşık %49’unun bağımlılık karışıklığı saldırısına karşı savunmasız olduğunu ortaya çıkardı.
Npm ve diğer paket yöneticileri o zamandan beri özel sürümleri önceliklendirmek için düzeltmeler sunarken, uygulama güvenlik firması Legit Security, Cordova App Harness projesinin göreceli bir dosya yolu olmadan cordova-harness-client adlı dahili bir bağımlılığa referans verdiğini bulduğunu söyledi.
Açık kaynak girişimi, Apache Yazılım Vakfı (ASF) tarafından 18 Nisan 2019 itibarıyla durduruldu.
Legit Security’nin gösterdiği gibi bu durum, aynı ad altında daha yüksek sürüm numarasına sahip kötü amaçlı bir sürüm yükleyerek bir tedarik zinciri saldırısına kapıyı sonuna kadar açık bıraktı ve böylece npm’nin sahte sürümü genel kayıt defterinden almasına neden oldu.
Sahte paketin npm’ye yüklendikten sonra 100’den fazla indirme alması, arşivlenen projenin hâlâ kullanıma sunulduğunu ve muhtemelen kullanıcılar için ciddi riskler oluşturduğunu gösteriyor.
Varsayımsal bir saldırı senaryosunda, bir saldırgan, paket kurulumu sonrasında hedef ana bilgisayarda çalıştırılabilecek kötü amaçlı kod sunmak için kitaplığı ele geçirebilir.
Apache güvenlik ekibi o zamandan beri cordova-harness-client paketinin sahipliğini alarak sorunu çözdü. Bağımlılık karışıklığı saldırılarını önlemek için kuruluşlara yer tutucu olarak genel paketler oluşturmalarının önerildiğini belirtmekte fayda var.
Güvenlik araştırmacısı Ofek Haviv, “Bu keşif, üçüncü taraf projelerini ve bağımlılıklarını, özellikle düzenli güncellemeler veya güvenlik yamaları almayan arşivlenmiş açık kaynaklı projeler olmak üzere, yazılım geliştirme fabrikasındaki potansiyel zayıf bağlantılar olarak dikkate alma ihtiyacını vurguluyor” dedi.
“Her ne kadar onları olduğu gibi bırakmak cazip görünse de, bu projeler genellikle dikkat çekmeyen ve düzeltilmesi muhtemel olmayan güvenlik açıklarına sahip.”