Lekken in plug-ins riskant voor ontwikkelsoftware

De kwetsbaarheden in de plug-ins voor Visual Studio geven aanvallers de mogelijkheid om malware uit te voeren op de computers van developers. Daarvoor moesten kwaadwillenden alleen maar hun slachtoffers zien te verleiden om op een malafide link te klikken. De twee plug-ins zijn Open in Default Browser en Instant Markdown, die qua downloads uit de Visual Studio Code Marketplace bescheiden in gebruik zijn: 600.000 stuks.

IT-beveiligingsfirma Snyk heeft de ontdekte kwetsbaarheden verantwoord gemeld aan de makers van de twee kwetsbare extensies, meldt DarkReading. De prangende securityvraag is echter of andere ontwikkelsoftware plus plug-ins daarvoor hun code wel goed doornemen op hackrisico's. Security-onderzoeker Kirill Efimov van Snyk meent dat de nu ontdekte kwetsbaarheden slechts het puntje van de ijsberg zijn.

Braakliggende 'markt'

Hij acht het niet waarschijnlijk dat bekende en veelgebruikte plug-ins soortgelijke securityproblemen hebben als de twee kleinere die nu zijn gepatched. Maar er zijn zoveel extensies en zoveel developmentpakketten en talen dat hij daarin wel degelijk een flink, onontgonnen gebied ziet voor security-onderzoekers. En daarmee ook een interessante 'markt' voor aanvallers. Efimov drukt developers op het hart om zich meer bewust te zijn van de extensies die ze installeren.

De uitbreidbaarheid van ontwikkelsoftware is een relatief nieuw fenomeen. Dit heeft ook relatief nieuwe softwaremakers aangetrokken, die mogelijk niet allemaal hun processen op orde hebben voor veilig programmeren en voor goede code-audits. Maar leeftijd en ervaring zijn geen indicatoren of garanties voor wel of niet veilige code kunnen maken, ook niet voor ontwikkelsoftware. Zo is het in 1999 opgerichte SolarWinds recent diepgaand gehackt, waarlangs wereldwijd doelwitten in onder meer overheidskringen zijn gecompromitteerd.