Istraživač sigurnosti uspio je probiti interne sustave više od 35 velikih tvrtki, uključujući Apple, Microsoft i PayPal, koristeći napad na lanac opskrbe softverom (putem Bleeping Računalo ).
Istraživač sigurnosti Alex Birsan uspio je iskoristiti jedinstvenu grešku u dizajnu u nekim ekosustavima otvorenog koda zvanu 'zbrka ovisnosti' za napad na sustave tvrtki kao što su Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla i Uber.
Napad je uključivao prijenos zlonamjernog softvera u repozitorije otvorenog koda, uključujući PyPI, npm i RubyGems, koji su zatim automatski distribuirani nizvodno u interne aplikacije različitih tvrtki. Žrtve su automatski primale zlonamjerne pakete, bez potrebe za socijalnim inženjeringom ili trojanskim programima.
Birsan je uspio kreirati krivotvorene projekte koristeći ista imena na otvorenim repozitorijumima, od kojih je svaki sadržavao poruku o odricanju od odgovornosti, i otkrio je da će aplikacije automatski povući javne pakete ovisnosti, bez potrebe za bilo kakvom radnjom programera. U nekim slučajevima, kao što su PyPI paketi, svaki paket s višom verzijom imao bi prioritet bez obzira na to gdje se nalazio. To je omogućilo Birsanu da uspješno napadne lanac opskrbe softverom više tvrtki.
Nakon što je potvrdio da se njegova komponenta uspješno infiltrirala u korporativnu mrežu, Birsan je prijavio svoje nalaze dotičnoj tvrtki, a neki su ga nagradili nagradom za bugove. Microsoft mu je dodijelio najveću nagradu za bug od 40.000 dolara i objavio bijelu knjigu o ovom sigurnosnom pitanju, dok je Apple rekao BleepingComputer da će Birsan dobiti nagradu putem Apple Security Bounty programa za odgovorno otkrivanje problema. Birsan je sada zaradio više od 130.000 dolara kroz programe nagrađivanja za bugove i unaprijed odobrene aranžmane za testiranje penetracije.
Potpuno objašnjenje metodologije iza napada je dostupan kod Alexa Birsana Srednji stranica .
Oznake: cybersecurity , bug bounty
Popularni Postovi