Araştırmacılar, bir PHP yazılım paketi deposu olan Packagist’te, yazılım tedarik zinciri saldırılarını gerçekleştirmek için kullanılabilecek, şu anda yamalı, yüksek önemde bir güvenlik açığıyla ilgili ayrıntıları açıkladılar.
SonarSource araştırmacısı Thomas Chauchefoin, The Hacker News ile paylaşılan bir raporda, “Bu güvenlik açığı Packagist’in kontrolünü ele geçirmeye izin veriyor” dedi. Packagist, PHP paket yöneticisi Composer tarafından geliştiriciler tarafından projelerine dahil edilen yazılım bağımlılıklarını belirlemek ve indirmek için kullanılır.
Açıklama, açık kaynak depolarına kötü amaçlı yazılım yerleştirmenin, yazılım tedarik zinciri saldırılarını başlatmak için çekici bir kanala dönüşmesiyle ortaya çıkıyor.
CVE-2022-24828 (CVSS puanı: 8.8) olarak izlenen sorun, bir komut enjeksiyonu vakası olarak tanımlandı ve Nisan 2021’de ortaya çıkan benzer bir Composer hatasıyla (CVE-2021-29472) bağlantılı. yetersiz yama.
Packagist, Nisan 2022 tarihli bir danışma belgesinde, “Bir projenin besteci.json’ında URL tarafından açıkça listelenen bir Git veya Mercurial deposunu kontrol eden bir saldırgan, besteci güncellemesini çalıştıran makinede komutları yürütmek için özel hazırlanmış dal adlarını kullanabilir,” dedi.
Kusurun başarılı bir şekilde kullanılması, bir paketi güncelleme isteklerinin, Packagist’in resmi örneğini çalıştıran arka uç sunucusunda rastgele komutlar yürütülerek kötü amaçlı bağımlılıkları dağıtmak için kaçırılmış olabileceği anlamına geliyordu.
“uzlaşma [the backend services] Chauchefoin, saldırganların, bir dahaki sefere yeni bir kurulum veya bir Composer paketi güncellemesi yaptıklarında, kullanıcıları arka kapılı yazılım bağımlılıklarını indirmeye zorlamalarına izin verecek” dedi.
Bununla birlikte, bugüne kadar güvenlik açığından yararlanıldığına dair bir kanıt yok. SonarSource’un 7 Nisan 2022’de kusuru bildirmesinden sonra, Composer 1.10.26, 2.2.12 ve 2.3.5 sürümlerinde düzeltmeler yapıldı.
Açık kaynak kodu, yazılım tedarik zincirine karşı kolayca silahlandırılabilmeleri nedeniyle tehdit aktörleri için giderek daha kazançlı bir tercih edilen hedef haline geldi.
Bu Nisan ayının başlarında, SonarSource, PEAR PHP deposunda, bir saldırganın yetkisiz erişim elde etmesine, sahte paketler yayınlamasına ve rastgele kod yürütmesine izin verebilecek 15 yıllık bir güvenlik açığını da ayrıntılı olarak açıkladı.
Chauchefoin, “Tedarik zincirleri farklı biçimler alabilirken, bunlardan biri önemli ölçüde daha etkilidir: Bu üçüncü taraf yazılım bileşenlerini dağıtan sunuculara erişim sağlayarak, tehdit aktörleri, kullanıcılarının sistemlerinde bir yer elde etmek için bunları değiştirebilir.” .