Google, Çinli bir şirketin alan adını satın alması ve kullanıcıları kötü amaçlı ve dolandırıcılık sitelerine yönlendirmek için JavaScript kitaplığını (“polyfill.js”) değiştirmesinin ardından Polyfill.io hizmetini kullanan e-ticaret sitelerinin reklamlarını engellemek için adımlar attı.
Sansec Salı günkü raporunda, kütüphaneyi barındıran 110.000’den fazla sitenin tedarik zinciri saldırısından etkilendiğini söyledi.
Polyfill, web tarayıcılarındaki modern işlevlere yönelik desteği içeren popüler bir kütüphanedir. Bu Şubat ayının başlarında, Çin merkezli içerik dağıtım ağı (CDN) şirketi Funnull tarafından satın alınmasının ardından endişeler dile getirildi.
Projenin orijinal yaratıcısı Andrew Betts, web sitesi sahiplerini projeyi derhal kaldırmaya çağırdı ve şunları ekledi: “Günümüzde hiçbir web sitesi çoklu doldurma işlemindeki çoklu doldurmaları gerektirmiyor[.]io kitaplığı” ve “web platformuna eklenen özelliklerin çoğu, Web Serial ve Web Bluetooth gibi genellikle çoklu doldurulamayan bazı istisnalar dışında, tüm büyük tarayıcılar tarafından hızlı bir şekilde benimsenmektedir.”
Bu gelişme aynı zamanda web altyapısı sağlayıcıları Cloudflare ve Fastly’yi kullanıcıların Polyfill.io’dan uzaklaşmasına yardımcı olacak alternatif uç noktalar sunmaya yöneltti.
Cloudflare araştırmacıları Sven Sauleau ve Michael Tremante, “Endişeler, orijinal polyfill.io alanına bağlantı yerleştiren herhangi bir web sitesinin, tedarik zinciri saldırısı riskinden kaçınmak için temel projeyi sürdürmek ve güvence altına almak için artık Funnull’a güveneceği yönünde” dedi. o zaman.
“Böyle bir saldırı, altta yatan üçüncü tarafın tehlikeye atılması veya son kullanıcılara sunulan kodun kötü niyetli yollarla değiştirilmesi durumunda gerçekleşir ve bunun sonucunda aracı kullanan tüm web sitelerinin tehlikeye atılmasıyla sonuçlanır.”
Hollandalı e-ticaret güvenlik firması “cdn.polyfill” alan adını söyledi[.]io”, o zamandan beri kullanıcıları spor bahisleri ve pornografik sitelere yönlendiren kötü amaçlı yazılım enjekte ederken yakalandı.
“Kodun tersine mühendisliğe karşı özel koruması var ve yalnızca belirli mobil cihazlarda belirli saatlerde etkinleşiyor” dedi. “Ayrıca bir yönetici kullanıcı tespit ettiğinde etkinleşmiyor. Ayrıca bir web analiz hizmeti bulunduğunda muhtemelen istatistiklerde yer almamak için yürütmeyi geciktiriyor.”
San Francisco merkezli c/side da kendi uyarısını yayınlayarak, alan adı yöneticilerinin 7-8 Mart 2024 tarihleri arasında sitelerine bir Cloudflare Güvenlik Koruması başlığı eklediğini belirtti.
Bulgular, Adobe Commerce ve Magento web sitelerini (CVE-2024-34102, CVSS puanı: 9,8) etkileyen ve 11 Haziran 2024’ten beri mevcut düzeltmelere rağmen büyük ölçüde yama yapılmadan kalmaya devam eden kritik bir güvenlik kusuruyla ilgili bir tavsiye niteliğindeki uyarının ardından geldi.
Açıklardan faydalanma zinciri CosmicSting’i kodlayan Sansec, “Kendi başına, herkesin özel dosyaları (şifre içeren dosyalar gibi) okumasına olanak tanıyor” dedi. “Ancak, Linux’taki son iconv hatasıyla birleştiğinde uzaktan kod çalıştırmanın güvenlik kabusuna dönüşüyor.”
O zamandan bu yana, üçüncü tarafların, iconv sorununa (CVE-2024-2961) karşı savunmasız bir Linux sürümüne ihtiyaç duymadan API yönetici erişimi elde edebildiği ortaya çıktı, bu da durumu daha da ciddi bir sorun haline getiriyor.