Bilgisayar korsanları satıcı, iş ortağı veya tedarikçi ağındaki zayıflıklara erişim sağlayarak ve bunlardan yararlanarak bir hedefi ihlal etmek için tedarik zinciri saldırılarını kullanır.
Tehdit aktörleri, kötü amaçlı yazılım dağıtarak, yazılım yükseltmelerini etkileyerek ve tedarik zincirindeki güvenilir bir tarafı ihlal ederek yasa dışı erişim elde ederek hedef firmaya girebilir.
Son zamanlarda Oversecur’daki siber güvenlik araştırmacıları, tehdit aktörlerinin Java ve Android uygulamalarını ele geçirmesine olanak tanıyan “MavenGate” adı verilen bir tedarik zinciri saldırısı gerçekleştirdi.
HERHANGİ BİR ÇALIŞTIRMA Sandbox’ındaki Şüpheli Dosyaları ve Bağlantıları Güvenle Açın; Tüm Özellikleri Ücretsiz Deneyin. Kötü amaçlı yazılım davranışını anlayın, IOC’leri toplayın ve kötü amaçlı eylemleri TTP’lerle kolayca eşleştirin; tüm bunları etkileşimli sanal alanımızda yapın.
Ücretsiz deneme
MavenGate Tedarik Zinciri Saldırısı
Bağımlılıkların %18’inden fazlası savunmasızdır ve bu da proje riskini artırabilir. Yararlanma, kod enjeksiyonuna, derleme süreci riskine ve altyapı erişimine olanak tanır. Ancak araştırmacılar aralarında Google, Facebook, Signal ve Amazon’un da bulunduğu 200’den fazla şirketin raporlandığını bildirdi.
Gradle projeleri, bağımlılıkların nerede bulunacağını belirten bağımlılık depolarına sahiptir.
Bağımlılıklar groupId:artifactId: sürüm biçimini kullanır ve iki depo vardır: –
- Özel (Google gibi)
- Herkese açık (mavenCentral() gibi)
Burada güvenlik kaygısı, saldırganların genel bağımlılıkların yerini almasının nasıl önleneceğidir. Bunu düzeltmek için araştırmacılar, grup kimliği kaydı için DNS TXT kayıtları aracılığıyla, ikameyi önleyerek ve güvenilir bağımlılıkların güvenli kullanımını sağlayarak kimlik doğrulaması yapılmasını önerdi.
Savunma, DNS kayıtlarının eklenmesine dayanır ancak yarım bırakılan projeler risk oluşturur. Saldırı planı terk edilmiş bağımlılıkları bulur ve ardından alanı satın alır.
Geliştiriciler genellikle tek bir depo kullanır ve bu da onu savunmasız hale getirir. Saldırgan, hesap yönetimi olmayan bir depoda DNS TXT aracılığıyla hak talebinde bulunabilir.
GroupId kayıtlıysa tehdit aktörleri bir erişim nedeni ile destek ekibiyle iletişime geçebilir. Bunun yanı sıra izinlerin aktarılmasına ilişkin prosedürler, ortak bir standart olmaksızın veri havuzları arasında farklılık gösterebilir.
Etik kaygılar gerçek bağımlılıklar üzerinde test yapılmasını engeller. Bunun yanı sıra, yeni projelere katılım için araştırmacılar, mavenCentral ve jitpack depolarındaki süreçleri inceleyerek com.oversecured groupId’ye odaklandılar.
Saldırı Türleri
Web ve mobil uygulama saldırıları: –
- Mevcut kitaplık sürümlerine saldırı: Saldırganın listenin üst kısmındaki deposu, kitaplık kopyalarını kötü amaçlı kodla değiştirir (Mevcut Savunmalar dikkate alınır).
- Yeni sürümlere saldırı: Saldırganın listenin alt kısmındaki deposu, yerleşik kötü amaçlı kod içeren yeni bir sürüm yayınlar; birçok uygulama dijital imzaları kontrol etmez.
Kütüphane Saldırıları: –
- Kütüphane grup kimliğinin ele geçirilebilirliğini kontrol ettiğinizden emin olun.
- Kütüphane bağımlılıkları, kullanılan projede kontrol edildi, geçişli ancak projenin depo bildirimlerine göre arandı.
İmzasız bağımlılıklar ve eksik genel anahtarlar sorununu ölçmek için uzmanlar ‘./gradlew –write-verification-metadata pgp,sha256 –export-keys’ çalıştırmayı öneriyor.
Google’dan gelen çok sayıda imzasız bağımlılığı ortaya çıkarır. Apache bağımlılıkları, ortak anahtarların eksik olması nedeniyle doğrulamadan yoksundu. Anahtar bir depo olan MavenCentral istatistikleri açıklarken diğer depolar bunu yapmayabilir.
Güvenlik açığı açıklamaları Google, Facebook, Amazon, Microsoft, Adobe, LinkedIn, Netflix ve 200’den fazla diğer şirket dahil olmak üzere büyük şirketlere gönderildi.