O pesquisador de segurança Alex Birsan descobriu uma nova forma muito simples e curiosa de realizar um ataque à cadeia de suprimentos – e, o que é mais sério, ele conseguiu alcançar grandes nomes do mercado de tecnologia com sua prova de conceito. Microsoft, Apple, Uber, Netflix, PayPal, Shopify e Tesla são apenas alguns nomes que foram afetados pelo “ataque inofensivo”; no total, 35 empresas foram suscetíveis.
Ao contrário do que aconteceu recentemente com a SolarWinds, Birsan não precisou usar técnicas ofensivas ou invadir nenhuma plataforma de TI mantida por fornecedores multinacionais. Tudo o que ele fez foi aproveitar o fato de que muitos aplicativos e serviços online usam versões modificadas de projetos de código aberto, incluindo repositórios como PyPI, npm e RubyGems.
A ideia surgiu quando o especialista teve acesso a um manifesto JSON que mostrava que o PayPal usava um pacote npm personalizado chamado “analytics-paypal” internamente. Birson se perguntou o que aconteceria se os sistemas da empresa encontrassem outro repositório com o mesmo nome e com uma data de atualização mais recente no GitHub e criassem uma edição falsa do pacote com um script adulterado.
(Reproduction / Alex Birson)
Bingo! O sistema ignora o pacote personalizado armazenado em um servidor fechado e depende daquele hospedado publicamente no GitHub, possivelmente contraindo malware. Todos os “clones” criados por Birson traziam uma mensagem dizendo que o conteúdo era apenas “para fins de pesquisa de segurança”, mas isso não impedia que as empresas o utilizassem acidentalmente.
Eu fiquei confuso
Ao ataque, o pesquisador chamou de “confusão de dependências” e conseguiu provar que, com isso, seria capaz de filtrar dados sigilosos dos servidores afetados. “A confusão de vício é muito diferente de typosquatting ou brandjacking, pois não exige nenhum tipo de entrada manual por parte da vítima”, explica.
“Vulnerabilidades ou falhas de projeto em ferramentas automatizadas de construção ou instalação podem fazer com que instalações públicas sejam confundidas com instalações internas exatamente com o mesmo nome”, conclui.
As descobertas de Birson renderam a ele um total de $ 130.000 (cerca de R$ 699.000) em recompensas pelo bug de recompensa. Tanto a Microsoft quanto o Yelp fizeram anúncios dizendo que reconfiguraram seus gerenciadores de pacotes para evitar mais confusão no futuro; A Apple e o PayPal, contatados por Bleeping Computer, confirmaram a recompensa oferecida, mas não forneceram mais detalhes sobre o incidente.
Fonte: Bleeping Computer
