Dutzende verwundbare NuGet-Pakete ermöglichen Angreifern den Zugriff auf die .NET-Plattform

  • Eine Analyse von Standardpaketen, die im NuGet-Repository gehostet werden, hat ergeben, dass 51 einzelne Softwarekomponenten für aktiv ausgenutzte, hochgradig gefährliche Schwachstellen anfällig sind. Dies unterstreicht einmal mehr die Bedrohung, die Abhängigkeiten von Drittanbietern für den Softwareentwicklungsprozess darstellen.

    Angesichts der wachsenden Zahl von Cyber-Vorfällen, die auf die Software-Lieferkette abzielen, besteht die dringende Notwendigkeit, solche Module von Drittanbietern auf Sicherheitsrisiken zu prüfen und die Angriffsfläche zu minimieren, sagte ReversingLabs-Forscher Karlo Zanki in einem Bericht, der mit The Hacker News geteilt wurde.

    NuGet ist ein von Microsoft unterstützter Mechanismus für die .NET-Plattform und fungiert als Paketmanager, der es Entwicklern ermöglichen soll, wiederverwendbaren Code gemeinsam zu nutzen. Das Framework verwaltet ein zentrales Repository mit über 264.000 einzigartigen Paketen, die zusammen mehr als 109 Milliarden Paket-Downloads erzeugt haben.

    [Blocked Image: https://thehackernews.com/images/-OoudkWOwaI4/YMt1nG7ZqHI/AAAAAAAA4Qo/zhvoTujBMzIboAsA28Ekt3IPPv7HQZb4ACLcBGAsYHQ/s728-e100/free-ad-7-728.png]

    “Alle identifizierten vorkompilierten Softwarekomponenten in unserer Untersuchung waren verschiedene Versionen von 7Zip, WinSCP und PuTTYgen, Programme, die komplexe Komprimierungs- und Netzwerkfunktionen bereitstellen”, erklärt Zanki. “Sie werden ständig aktualisiert, um ihre Funktionalität zu verbessern und bekannte Sicherheitslücken zu schließen. Manchmal kommt es jedoch vor, dass andere Softwarepakete zwar aktualisiert werden, aber immer noch mehrere Jahre alte Abhängigkeiten verwenden, die bekannte Sicherheitslücken enthalten.”

    [Blocked Image: https://thehackernews.com/images/-XfPyR1vVZZE/YOWiiNhpyrI/AAAAAAAADHI/tlWJHI_Rz7ALIQyNqbywmB31Prn2-MAHwCLcBGAsYHQ/s728-e1000/bugs.jpg]

    In einem Fall wurde festgestellt, dass “WinSCPHelper” – eine Dateiverwaltungsbibliothek für Remote-Server, die mehr als 35.000 Mal heruntergeladen wurde – eine alte und verwundbare WinSCP-Version 5.11.2 verwendet, während die Anfang Januar veröffentlichte WinSCP-Version 5.17.10 einen kritischen Fehler in Bezug auf die beliebige Ausführung (CVE-2021-3331) behebt, wodurch Benutzer des Pakets der Sicherheitslücke ausgesetzt sind.

    [Blocked Image: https://thehackernews.com/images/-M1QYEqLyH_4/YOWiXtiv6ZI/AAAAAAAADHE/84hZeObGai8ZPkyjh-1dwW0PiXRE3vC8QCLcBGAsYHQ/s728-e1000/zlib.jpg]

    Darüber hinaus stellten die Forscher fest, dass mehr als 50.000 Softwarekomponenten aus NuGet-Paketen statisch mit einer anfälligen Version der Datenkompressionsbibliothek “zlib” verknüpft waren, was sie anfällig für eine Reihe bekannter Sicherheitsprobleme wie CVE-2016-9840, CVE-2016-9841, CVE-2016-9842 und CVE-2016-9843 machte.

    [Blocked Image: https://thehackernews.com/images/-OSV4PB8Gs_s/YLy9M_8zkrI/AAAAAAAA4BE/n1p4_TGqv8w7u-Ha-YBjdamOZ8K2RHL_ACLcBGAsYHQ/s300-e100/privileged_300.jpg]

    Einige der Pakete, bei denen eine zlib-Schwachstelle beobachtet wurde, sind “DicomObjects” und “librdkafka.redist”, die jeweils nicht weniger als 50.000 und 18,2 Millionen Mal heruntergeladen wurden. Noch besorgniserregender ist, dass “librdkafka.redist” als Abhängigkeit für mehrere andere populäre Pakete aufgelistet ist, darunter Confluents .NET-Client für Apache Kafka (Confluent.Kafka), der seinerseits bis heute mehr als 17,6 Millionen Mal heruntergeladen wurde.

    “Unternehmen, die Softwarelösungen entwickeln, müssen sich dieser Risiken stärker bewusst werden und sich mehr mit deren Handhabung beschäftigen”, so Zanki. “Sowohl die Inputs als auch die finalen Outputs des Softwareentwicklungsprozesses müssen auf Manipulationen und Probleme mit der Codequalität überprüft werden. “Eine transparente Softwareentwicklung ist einer der Grundpfeiler, um Angriffe auf die Software-Lieferkette frühzeitig zu erkennen und zu verhindern.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com