Onderzoeker hackt 35 grote bedrijven met opensource-aanval

Diverse programmeertalen gebruiken installers - bijvoorbeeld npm, pip en RubyGems - om dependencies te installeren voor projecten. Deze installers zijn gekoppeld aan openbare repositories, waarin iedereen gratis pakketten met code kan uploaden zodat anderen deze kunnen gebruiken. Maar in die code kan ook malware zitten, bijvoorbeeld als een pakket gecompromitteerd is of als er malafide code wordt geüpload onder de naam van een dependency die niet langer bestaat.

Beveiligingsonderzoeker Alex Birsan ontdekte een nieuwe, eenvoudige methode om misbruik te maken van dit systeem, namelijk via een ontwerpfout genaamd 'dependency confusion', schrijft Bleeping Computer. Hij kwam op het idee toen hij vorig jaar samenwerkte met onderzoeker Justin Gardner, die het bestand package.json met Birsan deelde. Dat bestand kwam uit een npm-pakket dat intern door PayPal gebruikt wordt. Maar een aantal van de packages daarin bleken niet in de openbare npm repository te staan. In plaats daarvan ging het om de packages van PayPal zelf, die intern gebruikt en opgeslagen worden.

Wie krijgt voorrang?

Nu kan iemand natuurlijk een pakket met exact dezelfde naam uploaden naar diezelfde openbare repository, die naast de private repository bestaat. Birsan vroeg zich af of het systeem dan bij het downloaden voorrang zou geven aan dat pakket, in plaats van aan het private pakket. Met andere woorden: ziet het systeem het malafide pakket aan voor het echte pakket, en downloadt het dan deze?

Dat bleek inderdaad het geval te zijn. De bestanden die Birsan publiceerde werden automatisch naar de interne systemen van bedrijven gedownload, zonder dat daar alarmbellen afgingen. Een hacker kan in zo'n pakket natuurlijk ook malware stoppen, die dan ook op de interne systemen terecht komt. In sommige gevallen moest Birsan wel doen alsof het pakket een nieuwere versie was dan de echte van het bedrijf zelf om voorrang te krijgen bij het downloaden. 

Birsan wist met zijn techniek aanvallen uit te voeren tegenover diverse grote bedrijven, waaronder dus techgiganten als Microsoft, Apple en PayPal. Het gevaar bij een aanval als deze is dat er geen handmatige acties van het slachtoffer vereist zijn. 

130.000 dollar verdiend

Birson heeft de problemen gemeld bij de diverse bedrijven via bug bounty programma's. Daarmee heeft hij in totaal ruim 130.000 dollar weten te verdienen. Het hoogste bedrag kwam van Microsoft: 40.000 dollar. Microsoft heeft ook een white paper over het probleem gepubliceerd en de kwetsbaarheid officieel gemeld onder CVE-2021-24105. 

Naast Microsoft hebben ook Yelp, Apple en PayPal de beveiligingsonderzoeker beloond voor zijn bevindingen en meldingen.