Font Size

Profile

Layout

Direction

Menu Style

Cpanel

Майкрософт предупредил о новой хакерской методике «путаница зависимостей»

Новый метод «путаницы зависимостей», также известный как «атака подстановки», позволяет злоумышленникам незаметно подсунуть вредоносный код в частные репозитории кода путем регистрации имен внутренних библиотек в общедоступных индексах пакетов.

alt

9 февраля Майкрософт опубликовал официальный документ о новом типе техники атаки, называемой «путаница зависимостей» или «атака замещения», которую можно использовать для порчи процесса создания приложений в корпоративной среде.

Этот метод основан на таких концепциях, как менеджеры пакетов, публичные и частные репозитории пакетов и процессы сборки.

Сегодня разработчики малых и крупных компаний используют менеджеры пакетов для загрузки и импорта библиотек, которые затем собираются вместе с помощью инструментов сборки при создании окончательного приложения. Некоторые из этих приложений могут содержать закрытый или высокочувствительный код, в зависимости от их характера. Для этих приложений компании часто используют частные библиотеки, которые они хранят в частном (внутреннем) репозитории пакетов, размещенном в собственной сети компании.

При создании приложений разработчики компании будут смешивать эти частные библиотеки с общедоступными библиотеками, загруженными с порталов общедоступных пакетов, таких как npm, PyPI, NuGet или других.

9 февраля группа исследователей безопасности подробно описала новую концепцию, называемую «путаница зависимостей», которая атакует эти смешанные среды создания приложений внутри крупных корпораций. Исследователи показали, что если злоумышленник узнает имена частных библиотек, используемых в процессе создания приложений компании, он может зарегистрировать эти имена в общедоступных репозиториях пакетов и загрузить общедоступные библиотеки, содержащие вредоносный код.

Атака «путаницы зависимостей» имеет место, когда разработчики создают свои приложения внутри корпоративных сред, и их менеджер пакетов отдает приоритет вредоносной библиотеке, размещенной в общедоступном репозитории, а не внутренней библиотеке с тем же именем.

Исследовательская группа проверила свое открытие, выполнив поиск ситуаций, когда крупные технологические компании случайно «засветили» названия своих внутренних библиотек, а затем зарегистрировали те же библиотеки в репозиториях пакетов, таких как npm, RubyGems и PyPI.

Используя этот метод, исследователи загрузили свой невредоносный код в приложения, используемые 35 крупными техническими фирмами, включая Эппл, Майкрософт, PayPal, Shopify, Нетфликс, Yelp, Убер и другие.

По словам исследователей, помимо npm, RubyGems и PyPI, уязвимы и другие менеджеры пакетов, в том числе JFrog, Maven Central и NuGet.

Хотя исследовательская группа уведомила все затронутые компании и репозитории пакетов, Майкрософт, похоже, осознал серьезность проблемы больше, чем другие. После того, как во вторник работа исследовательской группы стала достоянием общественности, производитель ОС, который также управляет диспетчером пакетов NuGet для разработчиков .NET, опубликовал технический документ, в котором подробно описывается метод смешения зависимостей, который Майкрософт называет «атакой замещения».

В техническом документе компании предупреждают о гибридных конфигурациях диспетчера пакетов, в которых используются как общедоступные, так и частные источники библиотек, но также подробно описывается ряд мер по снижению рисков, которые компании могут применять, чтобы избежать путаницы в зависимости в своих средах сборки.

Среди некоторых из перечисленных рекомендаций:

Ссылайтесь на один частный канал, а не на несколько.

Защитите свои частные пакеты с помощью контролируемых областей в публичных репозиториях пакетов.

Используйте функции проверки на стороне клиента, такие как закрепление версий и проверка целостности.

ZDNet

Обновлено 10.02.2021 08:45

You are here