Kod güvenlik şirketi SonarSource tarafından bildirildiği üzere Packagist, işlevselliğini etkileyen ciddi bir güvenlik açığına maruz kaldı.
Bu güvenlik açığından yararlanılmış olsaydı, PHP topluluğunu hedef alan bir tedarik zinciri saldırısı mümkün olabilirdi.
PHP bağımlılık yöneticilerinde Composer, bağımlılıkları depolamak için varsayılan depo olarak Packagist’i kullanır. Bunun amacı, Composer kullanılarak kurulabilen tüm genel PHP paketlerini toplamaktır.
Composer kullanılarak her ay 2 milyardan fazla paket indiriliyor ki bu önemli bir rakam.
Yeni keşfedilen güvenlik açığı yoluyla çeşitli kötü amaçlı bağımlılıklar dağıtılmış olabilir ve bu, etkili bir şekilde kötüye kullanılması durumunda milyonlarca sunucunun güvenliğinin ihlal edilmesine yol açabilirdi.
Kritik Güvenlik Açığı
Güvenlik açığının CVE-2022-24828 olarak izlendiği ve bunun bir komut ekleme güvenlik açığı olduğu bildirildi. Composer tarafından parametre olarak yorumlanan girdi, bu kusur aracılığıyla bir saldırgan tarafından kontrol edilebilir.
CVE-2022-24828, Composer için bildirilen ve komut eklemeyle ilişkili başka bir güvenlik açığı olan CVE-2021-29472 ile de ilişkilidir.
Saldırganın Git veya Mercurial deposu üzerindeki denetimlerinin bir sonucu olarak Packagist(.)org ve Private Packagist’i hedeflemek için bu güvenlik açığından yararlanması mümkündür.
CVE-2022-24828’in Gösterimi
Git veya Mercurial tarafından kontrol edilen bir havuza erişimi olan herkes, dosyada URL ile açıkça listelenen bir projenin besteci.json dosyasında bulunan dal adları aracılığıyla kompozisyon aracından yararlanabilir.
Bu güvenlik açığından yararlanmak isteyenler, istismar için bir proje oluşturabilecekleri bir Mercurial deposu oluşturmaları gerekir. Ardından, composer.json’da kötü niyetli bir ‘benioku’ girişi oluşturun ve buna bir bildirim ekleyin.
.sh yükü oluşturulduktan sonra, istenen eylemi gerçekleştirmek için kullanılmalı ve ardından Packagist’e paket olarak aktarılmalıdır.
Güvenlik Yaması
Bir kitaplık olarak entegre ediyorsanız ve güvenilmeyen depolarla çalışıyorsanız, Composer’ın aşağıdaki sürümlerine yükseltmeniz önerilir.
Packagist sahiplerine bu güvenlik açığı hakkında 7 Nisan’da bilgi verildi ve bundan sonraki gün hemen bir yama yayınlandı. Bildirilen vahşi doğada da herhangi bir sömürü olayının olmadığını belirtmek önemlidir.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin