Tedarik zincirine yönelik saldırılar, yazılım geliştirme şirketleri için güncel bir endişe kaynağıdır. Geçen yıl tarihteki en büyük yazılım tedarik zinciri siber saldırısında, bir arka kapı 18.000 SolarWinds müşterisine bulaştı. Bu yılın başlarında bir güvenlik araştırmacısı PayPal, Apple, Microsoft ve diğer büyük BT şirketlerini tehlikeye atmak için yeni bir tedarik zinciri hackleme stratejisi kullandı.
Tüm çağdaş yazılımlar, bazen bu saldırıların kötüye kullandığı temel tasarım olan indirilen tüm paketleri net bir şekilde görmeden, diğer üçüncü taraf yazılım bileşenlerinin üzerine inşa edilmiştir. Ek olarak, aynı bileşenlerin birçoğunu kullanmak geliştirme sürecini hızlandırırken, tedarik zincirini etkilemek, aynı anda birçok farklı firmaya sızabilecek çok güçlü ve gizli bir saldırı vektörüdür. Sonar Ar-Ge ekibi, PHP tedarik zincirindeki büyük bir güvenlik açığına ilişkin ilk sürümlerinden bir yıl sonra ilgili bileşenlerde yeni ve önemli bir güvenlik açığı keşfetti. Sunucuyu ele geçirmeyi, halihazırda kullanımda olan PHP yazılım paketleriyle ilgili ayrıntıları yaymayı ve nihayetinde bunları kullanan her şirketi tehlikeye atmayı mümkün kıldı.
Sundukları saldırı, resmi Packagist örneğini barındıran sunucuda yetkisiz komut dosyalarının yürütülmesine izin verir. Bu hizmet, Composer tarafından belirli bir paket ve onun bağımlılıklarıyla ilgili meta verileri almak için kullanılır. Packagist’ten Composer kullanılarak her ay indirilen 2 milyar yazılım bağımlılığının en az 100 milyonunun Packagist’ten bilgi toplanması gerekir.
Bu arka uç hizmetlerinden taviz verilmesi, bilgisayar korsanlarının, bir dahaki sefere yeni bir yükleme veya bir Composer paketi güncellemesi yaptıklarında, kullanıcıları arka kapılı yazılım bağımlılıklarını çalıştırmaya zorlamalarına olanak tanır.
Composer tipik bir PHP paket yöneticisi olduğundan, bu açık kaynaklı ve ücretli PHP uygulamalarının çoğunu etkilerdi. Varsayılan, yetkili Packagist örneğini veya Private Packagist’i kullanıyorsanız, zaten güvendesiniz. Composer’ı kitaplık olarak kullanıyorsanız ve CVE-2022-24828 güvenlik düzeltmelerinden yararlanmak için güvenilmeyen depolarla çalışıyorsanız en az Composer 1.10.26, 2.2.12 veya 2.3.5’e yükseltin.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetim desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.