Beheer

Security
Hack

Onderzoeker hackt 35 grote bedrijven met opensource-aanval

Onder meer Microsoft, Apple en PayPal getroffen door ethische hacker.

11 februari 2021

Onder meer Microsoft, Apple en PayPal getroffen door ethische hacker.

Een beveiligingsonderzoeker is via een geheel nieuw ontdekte aanval op de software supply chain binnengedrongen in de interne systemen van 35 grote bedrijven. Voor de aanval gebruikte de onderzoeker malafide open source repositories. Onder meer Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla en Uber bleken kwetsbaar voor de aanval te zijn.

Diverse programmeertalen gebruiken installers - bijvoorbeeld npm, pip en RubyGems - om dependencies te installeren voor projecten. Deze installers zijn gekoppeld aan openbare repositories, waarin iedereen gratis pakketten met code kan uploaden zodat anderen deze kunnen gebruiken. Maar in die code kan ook malware zitten, bijvoorbeeld als een pakket gecompromitteerd is of als er malafide code wordt geüpload onder de naam van een dependency die niet langer bestaat. 

Beveiligingsonderzoeker Alex Birsan ontdekte een nieuwe, eenvoudige methode om misbruik te maken van dit systeem, namelijk via een ontwerpfout genaamd 'dependency confusion', schrijft Bleeping Computer. Hij kwam op het idee toen hij vorig jaar samenwerkte met onderzoeker Justin Gardner, die het bestand package.json met Birsan deelde. Dat bestand kwam uit een npm-pakket dat intern door PayPal gebruikt wordt. Maar een aantal van de packages daarin bleken niet in de openbare npm repository te staan. In plaats daarvan ging het om de packages van PayPal zelf, die intern gebruikt en opgeslagen worden.

Wie krijgt voorrang?

Nu kan iemand natuurlijk een pakket met exact dezelfde naam uploaden naar diezelfde openbare repository, die naast de private repository bestaat. Birsan vroeg zich af of het systeem dan bij het downloaden voorrang zou geven aan dat pakket, in plaats van aan het private pakket. Met andere woorden: ziet het systeem het malafide pakket aan voor het echte pakket, en downloadt het dan deze?

Dat bleek inderdaad het geval te zijn. De bestanden die Birsan publiceerde werden automatisch naar de interne systemen van bedrijven gedownload, zonder dat daar alarmbellen afgingen. Een hacker kan in zo'n pakket natuurlijk ook malware stoppen, die dan ook op de interne systemen terecht komt. In sommige gevallen moest Birsan wel doen alsof het pakket een nieuwere versie was dan de echte van het bedrijf zelf om voorrang te krijgen bij het downloaden. 

Birsan wist met zijn techniek aanvallen uit te voeren tegenover diverse grote bedrijven, waaronder dus techgiganten als Microsoft, Apple en PayPal. Het gevaar bij een aanval als deze is dat er geen handmatige acties van het slachtoffer vereist zijn. 

130.000 dollar verdiend

Birson heeft de problemen gemeld bij de diverse bedrijven via bug bounty programma's. Daarmee heeft hij in totaal ruim 130.000 dollar weten te verdienen. Het hoogste bedrag kwam van Microsoft: 40.000 dollar. Microsoft heeft ook een white paper over het probleem gepubliceerd en de kwetsbaarheid officieel gemeld onder CVE-2021-24105

Naast Microsoft hebben ook Yelp, Apple en PayPal de beveiligingsonderzoeker beloond voor zijn bevindingen en meldingen. 

Lees meer over
1
Reacties
Eric-Jan H te D 11 februari 2021 19:55

Een variant van de DLL-hel. Eigenlijk moeten alle onderdelen die uiteindelijk aan een product bijdragen beschermd worden door certificaten. Dat zijn oa sources, compilers, parameters, installers en wat dies meer zijn. En er moet bij elke instandzetting een inventory vergelijking worden gemaakt.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.