Araştırmacılar, arşivlenmiş bir Apache projesinde, saldırganların meşru bir özel bağımlılıkla aynı adı taşıyan kötü amaçlı bir paket yüklemek için paket yöneticilerinin genel depolara öncelik verme biçiminden yararlanabileceği güncelliğini yitirmiş üçüncü taraf bağımlılıkları kullanma riskini vurgulayan bir güvenlik açığı keşfetti.
Güvenlik açığının özellikle arşivlenmiş projeler için endişe verici olduğu, çünkü bu projelere büyük olasılıkla güvenlik yamaları gönderilmeyeceği, bağımlılıkların dikkatli bir şekilde yönetilmesinin ve güncel olmayan açık kaynak bileşenlerinin kullanılmasının güvenlik açısından doğuracağı sonuçların dikkate alınmasının önemi vurgulanıyor.
Bir yazılım tedarik zinciri saldırısı olan bağımlılık karışıklığı, saldırganların genel depoya özel bir bağımlılıkla aynı adı taşıyan kötü amaçlı bir paket yerleştirdiği genel depolara öncelik vererek paket yöneticisi davranışından yararlanır.
Kurulum sırasında, şüphelenmeyen sistem, amaçlanan özel paket yerine genel paketi indirir ve potansiyel olarak kötü amaçlı kod enjekte eder. Bunu azaltmak için paket yöneticileri artık özel depolara öncelik verecek yapılandırmalar sunuyor ancak uygunsuz yapılandırma, sistemleri savunmasız bırakıyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Açık kaynaklı projeler analiz edilirken Apache tarafından arşivlenen “Cordova App Harness” dosyasında potansiyel bir güvenlik açığı tespit edilir ve proje, package.json dosyasında başvurulan “cordova-harness-client” adlı yerel bağımlılığa dayanır.
Bağımlılık projenin node_modules dizininde yer alıyor ve bu durum, uygun şekilde temizlenmediği takdirde olası bir yerel yol geçiş sorununa işaret ediyor.
NPM bağımlılık çözümündeki bir güvenlik açığı, saldırganların yerel olarak bağlantılı paketlerin yerine geçen daha yüksek sürümlere sahip kötü amaçlı paketler yayınlamasına olanak tanır ve geliştiriciler, “package.json” dosyasındaki göreceli dosya yolu ile yerel bir pakete referans vererek bu riski azaltabilir.
Daha yüksek sürüm numarasına sahip, halka açık, zararsız bir paketin yayınlandığı bir deneyde, yalnızca üç gün içinde 100’den fazla indirme gerçekleştiği ortaya çıktı; bu da, başvurulan yerel kütüphanenin muhtemelen hala kullanımda olduğunu ve gerçek bir saldırıya karşı potansiyel olarak savunmasız olduğunu gösteriyor.
Bulgular, arşivlenmiş bir ana uygulama olan Cordova App Harness’ın potansiyel olarak savunmasız bir yerel bağımlılığı kullanmaya devam etmesi nedeniyle güvenlik risklerine sahip olabileceğini öne sürüyor.
Saldırganların, hedeflenen uygulamayı çalıştıran sistemde uzaktan rastgele kod yürütmesine olanak tanıyan, uygulamanın ayrıcalıklarından yararlanan ve saldırgana ele geçirilen makinede aynı düzeyde erişim sağlayan bir güvenlik açığı mevcuttur.
17 Mart 2024’te halka açık bir npm paketinde bir güvenlik açığı keşfedildi; İlk sürümün aynı gün yayınlanmasına rağmen indirmeler 19 Mart’ta başladı ve kötüye kullanımı önlemek için, azaltma stratejisini içeren (özel paketin genel sürümünü içeren) ayrıntılı bir rapor 24 Mart’ta Apache güvenlik ekibine gönderildi.
Buna göre Yasal GüvenlikEkip raporu 25 Mart’ta kabul etti. Herkese açık sürüm 26 Mart’ta kendilerine aktarılırken, bağımlılık karışıklığı kötü amaçlı kod enjekte etmek için paket yöneticisi yapılandırmalarındaki zayıflıklardan yararlanıyor.
Saldırganlar adlandırma kurallarını, paket yöneticisi davranışlarını ve depo kurulumlarını kötüye kullanabilir. Bu riskleri azaltmak için kuruluşların NPM gibi paket yöneticilerini düzgün bir şekilde yapılandırması gerekir; bu, güvenilir depoların belirlenmesini ve meşru bağımlılıkların indirilmesini sağlamak için sürüm kontrolünün uygulanmasını içerir ve bağımlılık karışıklığı için saldırı yüzeyini azaltır.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo