Swift ve Objective-C Cocoa projeleri için CocoaPods bağımlılık yöneticisinde, yazılım tedarik zinciri saldırıları düzenlemek ve alt akış müşterilerini ciddi risklere sokmak için kullanılabilecek üç güvenlik açığı keşfedildi.
EVA Bilgi Güvenliği araştırmacıları Reef Spektor ve Eran Vaknin bugün yayınlanan bir raporda, güvenlik açıklarının “herhangi bir kötü niyetli aktörün binlerce sahipsiz kapsül üzerinde sahiplik iddia etmesine ve en popüler iOS ve macOS uygulamalarının çoğuna kötü amaçlı kod eklemesine” olanak tanıdığını söyledi.
İsrailli uygulama güvenlik firması, üç sorunun Ekim 2023 itibarıyla CocoaPods tarafından düzeltildiğini söyledi. Ayrıca ifşalara yanıt olarak o sırada tüm kullanıcı oturumlarını sıfırladı.
Güvenlik açıklarından biri, bir saldırganın “Claim Your Pods” sürecini kötüye kullanmasını ve bir paketin kontrolünü ele geçirmesini mümkün kılan CVE-2024-38368’dir (CVSS puanı: 9.3), bu da etkili bir şekilde kaynak koduna müdahale etmelerine ve kötü amaçlı değişiklikler yapmalarına olanak tanır. Ancak, bunun için tüm önceki bakımcıların projeden çıkarılması gerekir.
Sorunun kökleri 2014’e dayanıyor. O dönemde Trunk sunucusuna yapılan bir göç sırasında binlerce paketin bilinmeyen (veya talep edilmeyen) sahipleriyle kalması, bir saldırganın pod’ları talep etmek için genel bir API ve CocoaPods kaynak kodunda bulunan bir e-posta adresini (“[email protected]”) kullanarak kontrolü ele geçirmesine olanak tanıyordu.
İkinci hata daha da kritiktir (CVE-2024-38366, CVSS puanı: 10.0) ve Trunk sunucusunda rastgele kod çalıştırmak için güvenli olmayan bir e-posta doğrulama iş akışından yararlanır; bu kod daha sonra paketleri değiştirmek veya değiştirmek için kullanılabilir.
Hizmette ayrıca, alıcıyı görünüşte zararsız bir doğrulama bağlantısına tıklamaya teşvik edebilecek, ancak gerçekte bir geliştiricinin oturum belirteçlerine erişmek için isteği saldırgan tarafından kontrol edilen bir etki alanına yönlendiren e-posta adresi doğrulama bileşeninde (CVE-2024-38367, CVSS puanı: 8,2) ikinci bir sorun daha tespit edildi.
Daha da kötüsü, bu durum HTTP başlığını taklit ederek (örneğin, X-Forwarded-Host başlık alanını değiştirerek) ve yanlış yapılandırılmış e-posta güvenlik araçlarından yararlanarak sıfır tıklamayla hesap ele geçirme saldırısına dönüştürülebilir.
Araştırmacılar, “Neredeyse her pod sahibinin Trunk sunucusunda kurumsal e-postalarıyla kayıtlı olduğunu tespit ettik. Bu da onları sıfır tıklamalı ele geçirme açığımıza karşı savunmasız hale getiriyor” dedi.
CocoaPods’un ilk kez taranması değil bu. Mart 2023’te Checkmarx, bağımlılık yöneticisiyle (“cdn2.cocoapods”) ilişkili terk edilmiş bir alt etki alanının[.]org”), yüklerini barındırmak amacıyla bir düşman tarafından GitHub Sayfaları aracılığıyla ele geçirilmiş olabilir.