Varnostni raziskovalec je z napadom na dobavno verigo programske opreme (preko Bleeping računalnik ).
Varnostni raziskovalec Alex Birsan je lahko izkoristil edinstveno napako v oblikovanju nekaterih odprtokodnih ekosistemov, imenovano 'zmeda odvisnosti', da bi napadel sisteme podjetij, kot so Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla in Uber.
Napad je vključeval nalaganje zlonamerne programske opreme v odprtokodna repozitorija, vključno s PyPI, npm in RubyGems, ki so se nato samodejno distribuirali navzdol v notranje aplikacije različnih podjetij. Žrtve so samodejno prejele zlonamerne pakete, pri čemer ni potreben socialni inženiring ali trojanci.
Birsan je lahko ustvaril ponarejene projekte z istimi imeni v odprtokodnih repozitorijih, od katerih je vsak vseboval sporočilo o zavrnitvi odgovornosti, in ugotovil, da bodo aplikacije samodejno potegnile javne pakete odvisnosti, ne da bi bilo treba razvijalec ukrepati. V nekaterih primerih, na primer pri paketih PyPI, bi imel vsak paket z višjo različico prednost, ne glede na to, kje se nahaja. To je podjetju Birsan omogočilo uspešen napad na dobavno verigo programske opreme več podjetij.
Ko je preveril, da se je njegova komponenta uspešno infiltrirala v korporativno omrežje, je Birsan o svojih ugotovitvah poročal zadevnemu podjetju, nekateri pa so ga nagradili z nagrado za hrošče. Microsoft mu je dodelil najvišjo nagrado za hrošče v višini 40.000 dolarjev in izdal belo knjigo o tem varnostnem vprašanju, medtem ko je Apple povedal BleepingComputer da bo Birsan prejel nagrado prek programa Apple Security Bounty za odgovorno razkritje težave. Birsan je zdaj zaslužil več kot 130.000 $ s programi za nagrajevanje napak in vnaprej odobrenimi dogovori za testiranje penetracije.
Popolna razlaga metodologije za napad je na voljo pri Alexu Birsanu srednje stran .
Oznake: kibernetska varnost, nagrada za hrošče
Priljubljene Objave