Nachahmer tauchen auf, nachdem ein Forscher einen Designfehler ausnutzt, um in Microsoft, Apple und Tesla einzubrechen

  • Nachdem ein Sicherheitsforscher in der Lage war, Tesla, Apple und andere zu knacken, tauchten mehr als 150 Nachahmer auf, von denen die meisten behaupteten, Forscher zu sein. (“tesla” von smellsofbikes ist lizenziert unter CC BY-NC-SA 2.0)

    Pseudonyme Autoren haben nur drei Tage nach der Veröffentlichung der Sonatype-Forschung zu einem Software-Lieferkettenfehler mehr als 150 Nachahmerpakete veröffentlicht, die versuchen, die Schwachstellen in dem kurzen Zeitfenster vor einem Patch auszunutzen.

    Der ethische Hacker und Sicherheitsforscher Alex Birsan hat am 9. Februar einen Blog veröffentlicht, in dem er detailliert beschreibt, wie er Abhängigkeiten oder Namespace-Verwechslungen ausnutzt, um seinen bösartigen Proof-of-Concept (PoC)-Code in die internen Entwicklungs-Builds von mehr als 35 großen Tech-Unternehmen wie Microsoft, Apple, Tesla, Uber und anderen einzuschleusen”. Sonatype veröffentlichte seine eigene Analyse seiner Erkenntnisse, sagte das Unternehmen.

    Innerhalb von 48 Stunden nach Bekanntwerden von Birsans Erkenntnissen begannen Sonatypes automatisierte Malware-Erkennungssysteme, die Teil von Nexus Intelligence sind, über 150 nachgemachte npm-Pakete zu markieren, die von verschiedenen Autoren veröffentlicht wurden”, die Birsans PoC-Forschung imitierten, sagte das Unternehmen. “Wir beobachten aktiv, dass alle paar Stunden mehr dieser Pakete eintreffen.”

    Wenn solche Lücken auftreten, “fühlen sich die Angriffskanäle neu an und bekommen viel mehr Aufmerksamkeit: erstens von denen, die Bug Bounties jagen, und zweitens von einer wahrscheinlichen Welle tatsächlicher Angriffe”, sagte Sonatype Chief Technology Officer Brian Fox gegenüber SC Media per E-Mail. “Ich gehe davon aus, dass einige dieser bösen Akteure sich als die erste Welle von ethischen Forschern ausgeben werden, möglicherweise sogar ihre Komponenten als ‘für die Sicherheitsforschung’ deklarieren, während sie in Wirklichkeit bösartig sind.”

    Namespace-Verwirrung ist kein neuer Angriffskanal für Hacker, merkte er an und fügte hinzu, dass der Angriffsvektor seit mehr als 16 Jahren verfolgt wird: “Was Birsans Forschung hervorhebt, ist das Sicherheitsopfer, das aus dem uralten Dilemma zwischen Repository-Managern und Entwicklern entsteht.”

    Das Spannungsverhältnis zwischen Repository-Sicherheitsmaßnahmen wie der Verifizierung von Namensräumen und der Benutzerfreundlichkeit für Entwickler, so Fox, “hat eine Gelegenheit für das Wiederaufleben von Namensraum-Verwirrungen geschaffen, und das ist es, was wir jetzt sehen.”

    Birsan gepostet, dass er “in der Lage war, automatisch zu scannen Millionen von Domains, die zu den gezielten Unternehmen und extrahieren Sie Hunderte von zusätzlichen Javascript-Paketnamen, die noch nicht auf der npm Registry beansprucht worden war” dann lud seinen Code “auf Paket-Hosting-Dienste unter all den gefundenen Namen und wartete auf Rückrufe.”

    Birsan nannte die Erfolgsquote “einfach erstaunlich” und schrieb: “Von einmaligen Fehlern von Entwicklern auf ihren eigenen Rechnern über falsch konfigurierte interne oder Cloud-basierte Build-Server bis hin zu systemisch verwundbaren Entwicklungspipelines war eines klar: Das Besetzen gültiger interner Paketnamen war eine fast todsichere Methode, um in die Netzwerke einiger der größten Tech-Unternehmen da draußen einzudringen, Remote-Code-Ausführung zu erlangen und es Angreifern möglicherweise zu ermöglichen, Backdoors während der Builds hinzuzufügen.”

    Microsoft nahm dieses Problem ins Visier und veröffentlichte am Patch Tuesday eine Kennung für die Sicherheitslücke (CVE-2021-24105) für sein Produkt Azure Artifacts.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com