Een beveiligingsonderzoeker was in staat om de interne systemen van meer dan 35 grote bedrijven, waaronder Apple, Microsoft en PayPal, te doorbreken met behulp van een softwaretoeleveringsketenaanval (via piepende computer ).
Beveiligingsonderzoeker Alex Birsan was in staat om een unieke ontwerpfout in sommige open-source ecosystemen genaamd 'afhankelijkheidsverwarring' uit te buiten om de systemen van bedrijven zoals Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla en Uber aan te vallen.
De aanval omvatte het uploaden van malware naar open source-repository's, waaronder PyPI, npm en RubyGems, die vervolgens automatisch stroomafwaarts werden gedistribueerd naar de interne applicaties van de verschillende bedrijven. Slachtoffers ontvingen automatisch de kwaadaardige pakketten, zonder dat social engineering of trojans vereist waren.
Birsan was in staat om valse projecten te maken met dezelfde namen in open-source repositories, die elk een disclaimer-bericht bevatten, en ontdekte dat applicaties automatisch openbare afhankelijkheidspakketten zouden ophalen, zonder dat de ontwikkelaar iets hoefde te doen. In sommige gevallen, zoals bij PyPI-pakketten, zou elk pakket met een hogere versie prioriteit krijgen, ongeacht waar het zich bevond. Dit stelde Birsan in staat om met succes de softwaretoeleveringsketen van meerdere bedrijven aan te vallen.
Nadat hij had geverifieerd dat zijn component met succes het bedrijfsnetwerk had geïnfiltreerd, rapporteerde Birsan zijn bevindingen aan het bedrijf in kwestie, en sommigen beloonden hem met een bug bounty. Microsoft kende hem het hoogste bug bounty-bedrag van $ 40.000 toe en bracht een witboek uit over dit beveiligingsprobleem, terwijl Apple vertelde: BleepingComputer dat Birsan een beloning zal ontvangen via het Apple Security Bounty-programma voor het op verantwoorde wijze bekendmaken van het probleem. Birsan heeft nu meer dan $ 130.000 verdiend door middel van bug bounty-programma's en vooraf goedgekeurde regelingen voor penetratietests.
Een volledige uitleg van de methodologie achter de aanval is: verkrijgbaar bij Alex Birsan's Medium bladzijde .
Tags: cyberbeveiliging, bug bounty
Populaire Berichten