OneTech11.02.2021
Badacz bezpieczeństwa włamał się do wewnętrznych systemów Apple, Netflix, PayPal, Tesla i Microsoft

Badaczowi bezpieczeństwa Alexowi Birsanowi udało się włamać do wewnętrznych systemów ponad 35 dużych firm, w tym Apple, Microsoft i PayPal, za pomocą ataku oprogramowania.

Birsan wykorzystał unikalną lukę projektową w niektórych ekosystemach open source, aby zaatakować systemy firm takich jak Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla i Uber.

Atak polegał na pobraniu złośliwego oprogramowania do repozytorium open source, w tym PyPI, npm i RubyGems, które następnie były automatycznie dystrybuowane do wewnętrznych aplikacji różnych firm. Ofiary automatycznie otrzymywały złośliwe pakiety, bez użycia trojanów.

Birsan był w stanie tworzyć fałszywe projekty przy użyciu tych samych nazw w repozytoriach open source, z których każdy zawierał zastrzeżenie. Odkrył również, że aplikacje automatycznie pobierają publicznie dostępne pakiety zależności bez żadnych działań ze strony programisty. W niektórych przypadkach, na przykład w przypadku pakietów PyPI, priorytet będzie miał każdy pakiet z wyższą wersją, bez względu na to, gdzie się znajduje. Pozwoliło to firmie Birsan skutecznie zaatakować łańcuch dostaw oprogramowania kilku firm.

Po upewnieniu się, że jego składnik pomyślnie przeniknął do sieci korporacyjnej, Birsan przekazał swoje ustalenia firmom. Microsoft przyznał mu najwyższą nagrodę za wykrycie błędów w wysokości 40 000 dolarów, a Apple obiecał włączyć go do programu Apple Security Bounty.

iOS 14.5 i iPadOS 14.5

Pozostałe informacje

Źródło:
Polub nas na Facebooku, obserwuj na Twitterze, dodaj do Google+ lub RSS

Zapraszamy na naszego Twittera.
@onetechpl