El investigador de seguridad Alex Birsan descubrió una nueva forma muy simple y curiosa de llevar a cabo un ataque a la cadena de suministro – y, lo que es más grave, logró llegar a grandes nombres del mercado tecnológico con su prueba de concepto. Microsoft, Apple, Uber, Netflix, PayPal, Shopify y Tesla son solo algunos nombres que se han visto afectados por el “ataque inofensivo”; en total 35 empresas fueron susceptibles.
A diferencia de lo que sucedió recientemente con SolarWinds, Birsan no tuvo que utilizar técnicas ofensivas ni entrar en ninguna plataforma de TI mantenida por proveedores multinacionales. Todo lo que hizo fue aprovechar el hecho de que muchas aplicaciones y servicios en línea utilizan versiones modificadas de proyectos de código abierto, incluidos repositorios como PyPI, npm y RubyGems.
La idea surgió cuando el experto tuvo acceso a un manifiesto JSON que mostraba que PayPal usaba internamente un paquete npm personalizado llamado “analytics-paypal”. Birson se preguntó ¿Qué pasaría si los sistemas de la empresa encontraran otro repositorio con el mismo nombre? y con una fecha de actualización más reciente en GitHub, y creó una edición falsa del paquete con un script adulterado.
¡Bingo! El sistema ignora el paquete personalizado almacenado en un servidor cerrado y se basa en el alojado públicamente en GitHub., posiblemente contrayendo malware. Todos los “clones” creados por Birson tenían un mensaje que decía que el contenido era solo “para fines de investigación de seguridad”, pero eso no impidió que las empresas lo usaran accidentalmente.
me confundí
Al ataque, el investigador lo denominó “confusión de dependencias” y logró demostrar que, con esto, podría filtrar datos sensibles de los servidores afectados. “La confusión de la adicción es muy diferente a la typosquatting o brandjacking, ya que no requiere ninguna entrada manual de la víctima”, explica.
“Las vulnerabilidades o fallas de diseño en las herramientas de construcción o instalación automatizadas pueden causar Las instalaciones públicas se confunden con las instalaciones internas con exactamente el mismo nombre.”, Concluye.
Los descubrimientos de Birson le ganó un total de $ 130.000 (alrededor de R $ 699.000) en recompensas de error de recompensa. Tanto Microsoft como Yelp han publicado anuncios diciendo que han reconfigurado sus administradores de paquetes para evitar más confusión en el futuro; Apple y PayPal, contactados por Bleeping Computer, confirmaron la recompensa ofrecida, pero no ofrecieron más detalles sobre el incidente.
Fuente: Computadora que suena
See the original post at: https://thehack.com.br/pesquisador-invade-microsoft-apple-paypal-e-netflix-usando-so-codigo-aberto/?rand=48889
