CocoaPods bağımlılık yöneticisinde birden fazla güvenlik açığı tespit edildi ve bu açıklar tedarik zinciri saldırıları açısından önemli bir risk oluşturuyor.
Bu açık, kötü niyetli herhangi bir aktörün binlerce talep edilmemiş kapsülü kontrol altına almasına ve çok sayıda bilinen Mac ve iOS uygulamasına kötü amaçlı kod enjekte etmesine olanak tanıyor.
Mobil uygulama ekosistemine yönelik bir saldırı, neredeyse tüm Apple cihazlarını etkileyebilir ve binlerce kuruluşu ciddi mali ve itibar kaybı riskiyle karşı karşıya bırakabilir.
CocoaPods’un yardımıyla, Objective-C, Swift ve RubyMotion gibi Objective-C çalışma zamanını kullanan diğer diller için harici kütüphaneleri uygulama düzeyinde yönetebilirsiniz.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
CocoaPods Ekosistemindeki Güvenlik Açıkları
CVSS puanı 9,3 olan, kritik öneme sahip bir hata olan CVE-2024-38368, bir saldırganın Claim the Pods sürecini istismar etmesine ve bir paketi ele geçirmesine olanak tanıyor.
“Saldırgan, kaynak kodunu manipüle edebilir veya yeni ele geçirilen Pod’a kötü amaçlı içerik yerleştirebilir.
EVA Bilgi Güvenliği araştırmacılarına göre, bu pod daha sonra birçok alt akış bağımlılığını enfekte edecek ve potansiyel olarak şu anda kullanımda olan Apple cihazlarının büyük bir yüzdesine yolunu bulacak”.
‘Trunk’ sunucusunun kaynak kodunu inceleyen araştırmacılar, tüm yetim pod’ların varsayılan bir CocoaPods sahibine atandığını keşfettiler; bu kişinin e-posta adresi şuydu: [email protected].
Çok sayıda talep edilmemiş Pod yaygın olarak kullanılmaya devam ediyor. Yetim Pod’lar çok sayıda diğer CocoaPods paketi tarafından bağımlılık olarak kullanılıyor.
Toplamda, araştırmacılar yetim bir Pod’a açık bir bağımlılığı olan 685 Pod keşfetti; tescilli kod tabanlarında yüzlerce hatta binlercesi daha olabilir. Bir noktada, bunların hepsi tedarik zinciri saldırılarına karşı savunmasızdı.
CVSS puanı 10.0 olan ikinci önemli hata CVE-2024-38366 olarak izleniyor.
Sunucu tamamen kapatılmış olabilir, tüm pod sahiplerinin oturum belirteçleri kaldırılmış olabilir, istemci trafiği tehlikeye girmiş olabilir veya yetkisiz bir tehdit aktörü sunucuya erişmiş olabilir.
Bu güvenlik açığı, Trunk sunucusunda paketleri değiştirmek veya değiştirmek için kullanılabilecek keyfi kodun yürütülmesine izin verir. Bu, uygunsuz bir e-posta doğrulama sürecinden yararlanılarak gerçekleştirilir.
Son olarak, 8.2’lik bir CVSS puanı ile bu önemli oturum doğrulama-kaçırma sorunu CVE-2024-38367 olarak izlendi. Bu güvenlik açığı nedeniyle, bir saldırgan sahte XFH başlığını kullanarak isteği gönderebilir.
Sahte alan adını içeren URL, CocoaPods “Trunk” sunucusunun oluşturduğu e-postaya eklenecektir.
Raporda, “Oturum doğrulama belirtecini aldıktan sonra, oturumu doğrulamak ve hesabı devralmak için yeni bağlantıya erişmek mümkün” ifadeleri yer alıyor.
Bir HTTP başlığını taklit etmek ve yanlış yapılandırılmış e-posta güvenlik araçlarını kullanmak, bunu sıfır tıklamayla hesap ele geçirme saldırısına ‘yükseltebilir’.
Araştırmacılar, “Neredeyse her pod sahibinin Trunk sunucusunda kurumsal e-postalarıyla kayıtlı olduğunu tespit ettik, bu da onları sıfır tıklama devralma güvenlik açığımıza karşı savunmasız hale getiriyor” dedi.
Paket servisler
Ekim 2023 itibarıyla CocoaPods üç hatayı da düzeltti. Açıklamalara tepki olarak, o anda her kullanıcı oturumu sıfırlanır.
Yine de işletmelerin bu olası saldırı noktasının farkında olmaları ve geliştiricilerin kullandığı çok sayıda paket ve bağımlılık yönetimi tekniğini öğrenmeye devam etmeleri gerekiyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files