Argüman ekleme hatası RCE riski oluşturdu
SonarSource araştırmacıları, PHP uygulamaları için ana paket yöneticisi olan Composer’ın önemli bileşenlerinden birinin, kodlama havuzlarına saldırmak için kötüye kullanılabilecek bir güvenlik açığı içerdiğini buldu.
Güvenlik açığı olan bileşen olan Packagist, Composer’ın yazılım geliştiricilerin projelerine dahil ettiği yazılım bağımlılıklarını belirlemesini ve indirmesini sağlar. Composer, her ay yaklaşık iki milyar yazılım paketine hizmet vermektedir.
SonarSource’un teknik bir blog yazısı, güvenlik açığından potansiyel olarak kötü niyetli arka kapılı paketleri sunuculara dağıtmak için yararlanılmış olabileceğini açıklıyor.
Bir tahmini 3500.000 bağımlılık güvenlik açığı nedeniyle tehdit edildi.
Neyse ki güvenlik açığı, proje sahipleri tarafından bildirildikten sadece saatler sonra çözüldü.
argüman enjeksiyonu
Yeni hata, SonarSource’un Packagist’te başka bir tedarik zinciri saldırısı güvenlik açığı keşfetmesinden ve bildirmesinden bir yıl sonra ortaya çıktı. Önceki hata, kod depolarından bağımlılıkları çözmek için Git, Mercurial ve Subversion gibi sürüm kontrol sistemleri (VCS) ile etkileşime giren sınıflardaydı.
Bu güvenlik açığı Packagist’in sahipleri tarafından düzeltilirken, SonarSource araştırmacıları, aynı sınıf uygulamalarının diğer bölümlerinin hala potansiyel saldırılara açık olduğunu buldu.
Güvenlik açığı araştırmacısı Thomas Chauchefoin, “Önceki araştırmamız, kod tabanının ilgi çekici bölümlerine hızla gitmemize yardımcı oldu, ancak aynı zamanda, önceki keşfimizle ilgili kodu ve yamaları incelerken bu hatayı birkaç kez gözden kaçırdık.” SonarSource, anlattı Günlük Swig.
Paketler hakkındaki bilgileri görüntülemek için Packagist, beni oku.md veya kod deposunda kullanıcı tarafından belirtilen bir dosya. Packagist, farklı VCS sistemlerinden dosya verilerini almak için ayrı uygulamalar içerir. Bu uygulamaların her biri, kullanıcı tarafından sağlanan dosyanın içeriğini içeren bir kabuk komutu oluşturur.
SonarSource’a göre, bir saldırgan bilgi dosyasına kötü amaçlı komutlar eklerse, bunlar sistemde çalışan kabuk komutuna argüman olarak eklenir. Packagist, kötü niyetli kodu durdurmak için kaçma mekanizmaları kullansa da, bazı boşlukları açık bıraktı.
Tedarik zinciri saldırısı
Bir kavram kanıtı videosunda araştırmacılar, sunucuda rastgele komutlar çalıştırmak için güvenlik açığından nasıl yararlanılabileceğini gösteriyor.
Saldırgan, bir paketin tanımını değiştirmek ve onu istenmeyen bir hedefe yönlendirmek için hatayı kötüye kullanabilir ve süreçte yazılım geliştirme hattını bozabilir.
Chauchefoin, “Argüman enjeksiyon hatalarına karşı savunma, son on yılda geliştiricilere zorladığımız tüm tekniklere kıyasla çok sıra dışı ve bence bu yüzden onları çok buluyoruz” dedi.
“Üçüncü taraf verileri kodlanabilir, kaçabilir ve sıkı bir şekilde doğrulanabilir, ancak bu genellikle yeterli değildir!”
Kendini koru
Hata, SonarSource’un Packagist’e bildirmesinden kısa bir süre sonra düzeltildi. Varsayılan resmi Packagist örneğini veya Private Packagist’i kullanıyorsanız, zaten güvendesiniz. Composer’ı bir kitaplık olarak entegre ettiyseniz ve güvenilmeyen havuzlarda çalışıyorsanız, kitaplığın yamalı sürümlerinden birine yükseltmeniz gerekir.
Chauchefoin, “Önceki keşfimizden sonraki yılda hiçbir şey değişmedi; bu, arkalarında yıllarca süren hayati projeler olduğu için anlaşılabilir bir durum” dedi.
“Herhangi bir yapı eserinin (yani paketlerin) imzalanması gibi özelliklerin uygulanması, muhtemelen milyonlarca geliştiricinin iş akışlarında önemsiz olmayan değişiklikler getirecektir.”
Bu arada Chauchefoin, sigstore gibi yeni standartlar etrafında daha fazla çekişin tedarik zinciri saldırılarının risklerini azaltmaya yardımcı olabileceğini umduğunu belirtti.
“İdeal olarak, paket yöneticileri yalnızca bakım yapanlar ve paket kullanıcıları arasındaki borular olmalıdır ve içeride akan şeyleri kurcalamanın hiçbir yolu olmamalıdır. Önemli olan her şeyi imzalamak ve sigstore bunu çok daha uygun fiyatlı hale getiriyor” dedi.
İLİŞKİLİ Spring Cloud işlevine sahip Nepxion Discovery yazılımı, RCE’yi yamalamıyor, bilgi sızıntısı hataları