Celowy atak na gigantów z branży technologicznej
Dla jasności Alex Birsan z wyprzedzeniem poinformował firmy, że będzie testował bezpieczeństwo ich systemów, ale nie podał im wcześniej żadnych szczegółów. Badacz wykonał swoje zadanie, wykorzystując stosunkowo proste rozwiązanie - zamienił prywatne pakiety kodu rutynowo aktywowane przez serwery na publiczne.
Podczas wyszukiwania pakietu kodu, zautomatyzowane systemy używane przez firmy korzystają z publicznych repozytoriów. Jeśli do wykonania określonej funkcji wymagany jest moduł Javascript, Ruby lub Python, serwery firmowe automatycznie zamienią moduł publiczny na własny wewnętrzny, po wykryciu pakietu o identycznej nazwie, który uważa za nowszą wersję.
Birsan w rozmowie z portalem "BleepingComputer" przyznał, że jego exploit ujawnił "luki w zabezpieczeniach lub wady projektowe w zautomatyzowanych narzędziach do kompilacji, lub instalacji, które mogą spowodować, że zależności publiczne będą mylone z zależnościami wewnętrznymi o tej samej nazwie". Badacz wykorzystał tę lukę i skorzystał z kodu do pakietów przechowywanych w repozytoriach publicznych, takich jak GitHub. Celowe powielanie nazw, a następnie zamianę plików, określił mianem "zamieszania związanego z zależnościami".
Pierwszym zadaniem, jakie musiał wykonać Birsan było określenie nazw używanych przez firmy w plikach kodu, aby móc tworzyć fałszywe pliki o tych samych nazwach.
Atak odsłonił istniejące luki w zabezpieczeniach
- Udało nam się automatycznie przeskanować miliony domen należących do atakowanych firm i wyodrębnić setki dodatkowych nazw pakietów javascript, które nie zostały jeszcze zgłoszone do rejestru npm - powiedział Birsan.
Kod Birsana na szczęście nie był złośliwy. Ekspert pobrał tylko podstawowe informacje o każdym komputerze, na który miał wpływ jego kod, w tym nazwę użytkownika, nazwę hosta i bieżącą ścieżkę każdej unikalnej instalacji. Program powiadomił Birsana, kiedy jego kod został aktywowany przez docelowe firmy.
- Wraz z zewnętrznymi adresami IP były to wystarczające dane, aby pomóc zespołom ds. bezpieczeństwa zidentyfikować potencjalnie podatne na ataki systemy na podstawie moich raportów - powiedział Birsan.
W zamian za swoje dokonanie mężczyzna otrzymał "nagrodę za błędy", czyli pieniądze wypłacane przez firmy badaczom, którzy odkrywają luki w zabezpieczeniach. Wielkość jego wynagrodzenia przekroczyła 130 tys. dolarów.
