[ad_1]

بیشتر شرکت های سطح بالا نوع جدیدی از حمله های جدی را هدف قرار می دهند

گتی ایماژ

نوع جدید حمله زنجیره تأمین ، که ماه گذشته رونمایی شد ، شرکتهای بیشتری را هدف قرار می دهد ، در این هفته محافل جدید مایکروسافت ، آمازون ، اسلک ، لیفت ، زیلو و تعداد نامعلومی را هدف قرار داده اند. در هفته های اخیر ، اپل ، مایکروسافت ، تسلا و 32 شرکت دیگر حمله مشابهی را هدف قرار داده اند که به یک محقق امنیتی اجازه می دهد کدهای غیر مجاز را در شبکه های خود اجرا کند.

آخرین حمله به مایکروسافت نیز به عنوان مدرکی از یک مفهوم توسط یک محقق انجام شد. در مقابل ، حملاتی که آمازون ، اسلک ، لیفت و زیلو را هدف قرار داده بودند ، مخرب بودند ، اما مشخص نیست که آیا آنها موفق به اجرای بدافزار در شبکه های خود شده اند یا خیر. در همین حال ، طبق گفته Sonatype ، شرکتی که به مشتریان کمک می کند تا از برنامه های توسعه یافته خود محافظت کنند ، مخازن منبع باز npm و PyPi با بیش از 5000 بسته ضد مفهومی پر شده اند.

“با توجه به حجم روزانه بسته های npm مشکوک از سیستم های تشخیص بدافزار خودکار Sonatype ، انتظار می رود این روند فقط درصورت سو abuseاستفاده مخالفان از سردرگمی اعتیاد برای انجام فعالیت های شوم بیشتر ، افزایش یابد.” ، اوایل این هفته محقق Sonatype Ax Sharma را نوشت.

حمله براق

هدف از این حملات اجرای کد غیر مجاز در داخل سیستم برای ساختن نرم افزار داخلی هدف است. این روش با بارگذاری بسته های مخرب در مخازن کد عمومی و دادن نامی یکسان به بسته ای که در حافظه داخلی توسعه دهنده هدف ذخیره شده است ، کار می کند.

برنامه های نرم افزاری مدیریت توسعه دهنده اغلب کتابخانه های کد خارجی را به کتابخانه های داخلی ترجیح می دهند ، بنابراین آنها بسته مخرب را بارگیری می کنند تا نسخه های معتبر را استفاده کنند. الکس بیرسان ، محققی که اپل و 34 شرکت دیگر را برای اجرای بسته های اثبات مفهوم بارگذاری شده در NPM و PyPi فریب داد ، نوع جدیدی از زنجیره تأمین را وابستگی وابستگی به حمله یا سردرگمی فضای نام نامید ، زیرا این امر به وابستگی های نرم افزاری با نام های گمراه کننده متکی است .

وابستگی های نرم افزاری ، کتابخانه های کدی هستند که برای کارکردن ، برنامه باید شامل آنها باشد. معمولاً توسعه دهندگان با دقت نام وابستگی ها را در سیستم های ساخت نرم افزار خود نگه می دارند. اما بیرسان دریافت که وقتی فایلهای packages.json – که حاوی فراداده های مختلف مرتبط با یک پروژه توسعه هستند – در اسکریپت های عمومی جاسازی می شوند ، نام ها اغلب منقضی می شوند. مسیرهای داخلی و اسکریپت های عمومی که حاوی تماس برنامه نویسی Require () هستند نیز می توانند نام وابستگی را نمایش دهند.

در صورتی که پرونده ای با همین نام در فضای ذخیره سازی عمومی در دسترس نباشد ، هکرها می توانند بسته ای مخرب را بارگذاری کرده و به آن نام پرونده و شماره نسخه را بدهند که این از پرونده اصلی ذخیره شده در داخل بالاتر است. در بسیاری از موارد ، توسعه دهندگان به طور تصادفی از کتابخانه مخرب استفاده می کنند یا برنامه گردآوری آنها این کار را به صورت خودکار انجام می دهد.

HD Moore ، بنیانگذار و مدیر عامل پلت فرم کشف شبکه Rumble ، گفت: “این یک حمله نرم است.” وی افزود: “حدس می زنم این امر افراد زیادی را تحت تأثیر قرار دهد” ، افزود: سازمانهایی که از تعداد زیادی بسته داخلی استفاده می کنند و اقدامات ویژه ای برای جلوگیری از جایگزینی بسته های داخلی به اقدامات عمومی انجام نمی دهند بیشتر در معرض خطر هستند.

گیجی بارانی

در طی هفته هایی که بیرسان یافته های خود را منتشر کرد ، حملات سردرگمی اعتیاد شکوفا شده است. مایکروسافت که قبلاً توسط یک حمله ضد مفهومی که بسته غیر مجاز Birsan را در شبکه خود اجرا می کرد ، مورد حمله قرار گرفت ، اخیراً به حمله دوم مبتلا شد که توسط محققان Contrast Security انجام شد.

مت آستین ، مدیر تحقیقات امنیتی در کنتراست ، گفت که او کار خود را با جستجوی وابستگی های استفاده شده در برنامه دسک تاپ Microsoft Teams آغاز کرد. وی پس از یافتن یک بسته جاوا اسکریپت به نام “وابستگی های اختیاری” ، از روشی استفاده کرد که دستگاه توسعه تیم ها بسته ای را که روی NPM قرار داده بود بارگیری و اجرا کند. بسته از همان نام ماژول مشخص شده به عنوان یک وابستگی اختیاری استفاده می کند.

اندکی پس از آن ، اسکریپتی که آستین وارد ماژول کرد از چند آدرس IP داخلی مایکروسافت به آن متصل شد. آستین نوشت:

چه پاسخهایی که من می دیدم خودکار بودند یا دستی ، این واقعیت که من توانستم این پاسخ را ایجاد کنم یک خطر قابل توجه است. با استفاده از اسکریپت پس از نصب ، من قادر به اجرای کد در هر محیطی برای نصب بودم. اگر هکرها مجبور بودند کدی را به روشی که من در ساخت سرور برای به روزرسانی یک برنامه دسک تاپ توزیع شده اجرا می کردم ، می توانستند هر آنچه را که می خواستند در آن به روزرسانی وارد کنند و این کد برای همه ظاهر می شود. دسک تاپ با کمک تیم ها – بیش از 115 میلیون دستگاه. چنین حمله ای می تواند عواقب بی نظیری داشته باشد ، به طور بالقوه همان تعداد از سازمانها را تحت تأثیر قرار دهد که حمله گسترده به کارخانه نرم افزار SolarWinds که در ماه دسامبر رونمایی شد.

او شکل زیر را ارائه داد که نشان می دهد چگونه یک حمله مخرب می تواند در این سناریوی نظری کارساز باشد:

تضاد امنیت

سخنگوی مایکروسافت نوشت: “به عنوان بخشی از تلاش های بزرگتر ما برای کاهش حملات جایگزینی بسته ها ، ما به سرعت موضوع را شناسایی کردیم و به آن پرداختیم و هیچ وقت خطر جدی برای امنیت مشتریان ما نبود.” که سیستم اجرای کد Ausin است بخشی از زیرساخت آزمایش امنیت ماست. مایکروسافت در اینجا بیشتر در مورد خطرات و روشهای کاهش آنها است.

این حملات مخرب می شوند

مانند بسته های بارگذاری شده توسط بیرسان و آستین ، هزاران فایلی که NPM و PyPi را فراگرفته بودند ، حاوی اسکریپت های بسیار خوبی بودند که آدرس IP و سایر جزئیات عمومی در مورد رایانه ای را که برای آنها مدیریت می کرد ، برای محققان ارسال می کرد.

اما همه بارگذاری ها چنین محدودیتی را مشاهده نکرده اند. روز دوشنبه ، محققان Sonatype پرونده های بارگذاری شده در NPM را که سعی در سرقت هش گذرواژه ها و داستان های اسکریپت bash از شرکت هایی از جمله Amazon ، Slack ، Lyft ، Zillow داشتند ، گزارش دادند.

Файл .bash_history, достъпен от пакета, качен в npm. <br />“src =” https://cdn.arstechnica.net/wp-content/uploads/2021/03/bash-stealing-script-640×399.jpg “width =” 640 “height =” 399 “srcset =” https: / /cdn.arstechnica.net/wp-content/uploads/2021/03/bash-stealing-script.jpg 2x”/><figcaption class=
بزرگنمایی / پرونده Bash_history از بسته بارگذاری شده در npm قابل دسترسی است.

سونوتیپ

شارما ، یک محقق در Sonatype ، نوشت: “این فعالیت ها به محض موفقیت حمله سردرگمی در اعتیاد انجام می شود و با توجه به ماهیت مشکل ربودن اعتیاد / فضای نام ، نیازی به اقدام قربانی نیست.”

داستان های Bash ، که دستورات و ورودی دیگری را که مدیران در رایانه خود وارد می کنند ذخیره می کنند ، اغلب حاوی رمزهای عبور متن ساده و سایر داده های حساس هستند. پرونده های ذخیره شده در مسیر / etc / shadow در دستگاه های لینوکس ، هش های رمزنگاری رمزهای عبور مورد نیاز برای دسترسی به حساب های کاربری را در رایانه ذخیره می کنند. (برای به خطر انداختن هش ها ، برنامه NPM باید در حالت کاربر فوق العاده اجرا شود ، مجموعه فوق العاده پیشرفته ای که تقریباً هرگز به برنامه های مدیریت نرم افزار تعلق نمی گیرد.)

Sonatype گفت هیچ راهی برای دانستن اینکه فایلها توسط هر یک از شرکتهای هدف قرار دادن اسکریپتها اجرا شده است ، ندارد.

اهداف پاسخ می دهند

در بیانیه ای ، کارمندان اسلک نوشتند:

کتابخانه شبیه سازی شده مورد بحث نه بخشی از محصول Slack است و نه Slack پشتیبانی و پشتیبانی می شود. ما دلیلی نداریم که باور کنیم بدافزار در حال تولید است. تیم امنیتی ما به طور مرتب وابستگی های مورد استفاده در محصول ما را با ابزارهای داخلی و خارجی اسکن می کند تا از حملات از این دست جلوگیری کند. علاوه بر این ، شیوه های توسعه ایمن Slack ، مانند استفاده از پهنای باند خصوصی هنگام استفاده از وابستگی های خصوصی ، باعث می شود حمله وابستگی در برابر محصول ما موفقیت آمیز نباشد.

در بیانیه Lyft آمده است: “Lyft از این تلاش صدمه ای ندید. هیچ نشانه ای برای اجرای این بدافزار در شبکه Lyft وجود ندارد. Lyft برای محافظت در برابر چنین حملات زنجیره تأمین ، برنامه امنیت اطلاعات ویژه ای دارد و برای آزمایش مداوم کنترل های امنیتی خود ، یک برنامه پاداش اشکال فعال را اجرا می کند. “

کارمندان زیلو نوشتند:

ما از گزارش امنیتی اخیر که شامل حمله احتمالی بسته های نرم افزاری تقلبی است شناخته شده ایم. پس از تحقیق توسط تیم امنیتی ما ، هیچ مدرکی در مورد به خطر افتادن یا سو explo استفاده از سیستم های ما توسط تجهیزات کشف شده پیدا نکردیم. تیم ما همچنین اقدامات زیادی را برای نظارت و محافظت در برابر هرگونه تلاش احتمالی برای دستیابی غیر مجاز به سیستم های ما انجام می دهد.

در همین حال ، نمایندگان NPM نوشتند: “ما در این پست وبلاگ راهنمایی در مورد چگونگی محافظت از این نوع حملات جایگزینی ارائه داده ایم. ما متعهد هستیم که npm را ایمن نگه داریم و به بهبود امنیت اکوسیستم ادامه دهیم. “

مقامات آمازون به ایمیلی که خواستار نظر شما بود پاسخ ندادند. نماینده PyPi بلافاصله توضیحی نداد.

هک اخیر علیه فروشنده ابزار شبکه Solar Winds – که سیستم توسعه نرم افزار تگزاس این شرکت را به خطر می اندازد و از آن برای توزیع به روزرسانی های مخرب به 18000 مشتری استفاده می کند – یادآوری واضح خسارت ناشی از حملات طرف تأمین بود. حملات گیجی اعتیاد امکان آسیب رساندن حتی بیشتر را دارد مگر اینکه توسعه دهندگان اقدامات احتیاطی انجام دهند.

[ad_2]

منبع: tarjome-news.ir