Истраживач безбедности успео је да провали интерне системе преко 35 великих компанија, укључујући Аппле, Мицрософт и ПаиПал, користећи напад на ланац снабдевања софтвером (преко Блеепинг Цомпутер ).
Истраживач безбедности Алек Бирсан је био у могућности да искористи јединствену грешку у дизајну у неким екосистемима отвореног кода звану 'збрка зависности' да нападне системе компанија као што су Аппле, Мицрософт, ПаиПал, Схопифи, Нетфлик, Иелп, Тесла и Убер.
Напад је укључивао отпремање злонамерног софтвера у спремишта отвореног кода, укључујући ПиПИ, нпм и РубиГемс, који су затим аутоматски дистрибуирани низводно у интерне апликације различитих компанија. Жртве су аутоматски примале злонамерне пакете, без потребе за социјалним инжењерингом или тројанским програмима.
Бирсан је био у могућности да креира фалсификоване пројекте користећи иста имена на отвореним репозиторијумима, од којих свако садржи поруку о одрицању одговорности, и открио је да апликације аутоматски повлаче јавне пакете зависности, без потребе за било каквом радњом од програмера. У неким случајевима, као што су ПиПИ пакети, сваки пакет са вишом верзијом би имао приоритет без обзира на то где се налазио. Ово је омогућило Бирсану да успешно нападне ланац набавке софтвера више компанија.
Након што је потврдио да се његова компонента успешно инфилтрирала у корпоративну мрежу, Бирсан је пријавио своје налазе дотичној компанији, а неки су га наградили наградом за грешке. Мицрософт му је доделио највећу награду за грешке од 40.000 долара и објавио белу књигу о овом безбедносном питању, док је Аппле рекао БлеепингЦомпутер да ће Бирсан добити награду преко Аппле Сецурити Боунти програма за одговорно откривање проблема. Бирсан је сада зарадио преко 130.000 долара кроз програме награда за грешке и унапред одобрене аранжмане за тестирање пенетрације.
Потпуно објашњење методологије иза напада је доступан код Алекса Бирсана Средње страна .
Ознаке: сајбер безбедност , награда за грешке
Популар Постс