Ricercatore hackera 35 importanti aziende tecnologiche
Un ricercatore di minacce rumeno ha dettagliato in un rapporto pubblicato mercoledì come ha fatto irruzione nei sistemi IT appartenenti ad alcune delle più grandi società del mondo. I suoi assalti hanno preso di mira con successo Apple, Microsoft, Tesla, PayPal, Netflix e oltre 30 altre società.
Alex Birsan ha avvisato in anticipo le aziende che avrebbe testato la sicurezza dei loro sistemi, ma non ha fornito loro i dettagli in anticipo.
Birsan ha portato a termine i compiti lanciando una modalità di attacco relativamente semplice: ha sostituito i pacchetti di codice privato regolarmente attivati dai server con pacchetti di codice pubblico. Durante la ricerca di un pacchetto di codice, i sistemi automatizzati utilizzati dalle aziende attingono a repository pubblici. Se è necessario un modulo Javascript, Ruby o Python per eseguire una particolare funzione, i server aziendali scambieranno automaticamente un modulo pubblico con uno interno se rileva un pacchetto con nome identico che ritiene sia una versione più recente.
Il suo exploit, ha detto Birsan a BleepingComputer, ha esposto “vulnerabilità o difetti di progettazione negli strumenti di costruzione o installazione automatizzati [that] può far sì che le dipendenze pubbliche vengano scambiate per dipendenze interne con lo stesso identico nome.”
Birsan ha approfittato di questa vulnerabilità iniettando codice nei pacchetti archiviati in repository pubblici come GitHub. Ha definito la duplicazione intenzionale dei nomi e il successivo scambio di file “confusione di dipendenza”.
Ha dovuto prima determinare i nomi utilizzati dalle aziende per i file di codice in modo da poter creare file contraffatti con gli stessi nomi, ma ha scoperto che il compito era relativamente facile. Shopify, ad esempio, ha installato automaticamente un file contraffatto di Birsan che ha correttamente indovinato essere “Shopify-cloud”.
“Il tasso di successo è stato semplicemente sorprendente”, ha detto Birsan mercoledì in una valutazione online delle sue imprese.
“Siamo stati in grado di scansionare automaticamente milioni di domini appartenenti alle società mirate ed estrarre centinaia di nomi di pacchetti javascript aggiuntivi che non erano ancora stati rivendicati nel registro npm”, ha affermato Birsan.
Una tale piantata da un malintenzionato potrebbe provocare il caos in tutta la rete di un’azienda, interrompere le operazioni, rubare dati o tentare di estorcere denaro.
Il codice di Birsan non era dannoso; ha recuperato solo le informazioni di base su ogni computer su cui il suo codice ha avuto effetto, inclusi nome utente, nome host e percorso corrente di ogni installazione univoca. Il programma ha informato Birsan quando il suo codice è stato attivato dalle aziende target.
“Insieme agli IP esterni, questi dati erano appena sufficienti per aiutare i team di sicurezza a identificare i sistemi potenzialmente vulnerabili in base ai miei rapporti”, ha affermato Birsan, “evitando che i miei test venissero scambiati per un attacco effettivo”.
In cambio Birsan ha raccolto denaro “bug bounty” che le aziende pagano ai ricercatori che scoprono le vulnerabilità. Il totale di diverse società che lo hanno pagato ha superato i $ 130.000.
Birsan ha avuto l’idea quando un collega, Justin Gardner, ha esaminato un file di gestione di un pacchetto JavaScript interno e si è chiesto cosa sarebbe successo se un file con lo stesso nome fosse stato inserito in un repository pubblico. Presto scoprirono che qualsiasi file con il numero di build più recente sarebbe stato intercettato dal server dell’azienda.
La maggior parte delle aziende interessate è stata in grado di riparare rapidamente i propri sistemi dopo la notifica della violazione.
Ma Birsan afferma di ritenere che la confusione della dipendenza dalle piattaforme open source rimanga un problema.
“In particolare, credo che trovare modi nuovi e intelligenti per far trapelare i nomi dei pacchetti interni esporrà sistemi ancora più vulnerabili e l’esame di linguaggi di programmazione alternativi e repository da prendere di mira rivelerà una superficie di attacco aggiuntiva per i bug di confusione delle dipendenze”, ha affermato.
