Исследователи выявили уязвимость с запутыванием зависимостей, влияющую на архивный проект Apache под названием Cordova App Harness.
Атаки по путанице зависимостей происходят из-за того, что менеджеры пакетов проверяют общедоступные репозитории перед частными реестрами, что позволяет субъекту угрозы опубликовать вредоносный пакет с таким же именем в общедоступном репозитории пакетов.
Это приводит к тому, что менеджер пакетов непреднамеренно загружает мошеннический пакет из общедоступного репозитория вместо предполагаемого частного репозитория. В случае успеха это может иметь серьезные последствия, такие как установка всех нижестоящих клиентов, которые устанавливают пакет.
Проведенный в мае 2023 года анализ пакетов npm и PyPI, хранящихся в облачных средах, компанией Orca, занимающейся облачной безопасностью, показал, что почти 49% организаций уязвимы для атаки по путанице зависимостей.
В то время как npm и другие менеджеры пакетов с тех пор внедрили исправления для приоритизации частных версий, компания по безопасности приложений Legit Security заявила, что обнаружила, что проект Cordova App Harness ссылается на внутреннюю зависимость с именем cordova-harness-client без относительного пути к файлу.
Инициатива с открытым исходным кодом была прекращена Фондом программного обеспечения Apache Software Foundation (ASF) с 18 апреля 2019 года.
Как продемонстрировала система безопасности Legit, это оставило дверь широко открытой для атаки по цепочке поставок, загрузив вредоносную версию под тем же именем с более высоким номером версии, что заставило npm извлечь поддельную версию из публичного реестра.
Поскольку фиктивный пакет получил более 100 загрузок после загрузки в npm, это указывает на то, что архивированный проект все еще используется, что, вероятно, представляет серьезные риски для пользователей.
В гипотетическом сценарии атаки злоумышленник может захватить библиотеку для обслуживания вредоносного кода, который может быть выполнен на целевом хосте после установки пакета.
С тех пор команда безопасности Apache решила проблему, став владельцем пакета cordova-harness-client. Стоит отметить, что организациям рекомендуется создавать общедоступные пакеты в качестве заполнителей для предотвращения атак по путанице зависимостей.
"Это открытие подчеркивает необходимость рассматривать сторонние проекты и зависимости как потенциальные слабые звенья на фабрике разработки программного обеспечения, особенно архивные проекты с открытым исходным кодом, которые могут не получать регулярных обновлений или исправлений безопасности", - сказал исследователь безопасности Офек Хавив.
"Хотя может показаться заманчивым оставить их как есть, в этих проектах, как правило, есть уязвимости, которые не привлекают внимания и вряд ли будут исправлены".
Атаки по путанице зависимостей происходят из-за того, что менеджеры пакетов проверяют общедоступные репозитории перед частными реестрами, что позволяет субъекту угрозы опубликовать вредоносный пакет с таким же именем в общедоступном репозитории пакетов.
Это приводит к тому, что менеджер пакетов непреднамеренно загружает мошеннический пакет из общедоступного репозитория вместо предполагаемого частного репозитория. В случае успеха это может иметь серьезные последствия, такие как установка всех нижестоящих клиентов, которые устанавливают пакет.
Проведенный в мае 2023 года анализ пакетов npm и PyPI, хранящихся в облачных средах, компанией Orca, занимающейся облачной безопасностью, показал, что почти 49% организаций уязвимы для атаки по путанице зависимостей.
В то время как npm и другие менеджеры пакетов с тех пор внедрили исправления для приоритизации частных версий, компания по безопасности приложений Legit Security заявила, что обнаружила, что проект Cordova App Harness ссылается на внутреннюю зависимость с именем cordova-harness-client без относительного пути к файлу.
Инициатива с открытым исходным кодом была прекращена Фондом программного обеспечения Apache Software Foundation (ASF) с 18 апреля 2019 года.
Как продемонстрировала система безопасности Legit, это оставило дверь широко открытой для атаки по цепочке поставок, загрузив вредоносную версию под тем же именем с более высоким номером версии, что заставило npm извлечь поддельную версию из публичного реестра.
Поскольку фиктивный пакет получил более 100 загрузок после загрузки в npm, это указывает на то, что архивированный проект все еще используется, что, вероятно, представляет серьезные риски для пользователей.
В гипотетическом сценарии атаки злоумышленник может захватить библиотеку для обслуживания вредоносного кода, который может быть выполнен на целевом хосте после установки пакета.
С тех пор команда безопасности Apache решила проблему, став владельцем пакета cordova-harness-client. Стоит отметить, что организациям рекомендуется создавать общедоступные пакеты в качестве заполнителей для предотвращения атак по путанице зависимостей.
"Это открытие подчеркивает необходимость рассматривать сторонние проекты и зависимости как потенциальные слабые звенья на фабрике разработки программного обеспечения, особенно архивные проекты с открытым исходным кодом, которые могут не получать регулярных обновлений или исправлений безопасности", - сказал исследователь безопасности Офек Хавив.
"Хотя может показаться заманчивым оставить их как есть, в этих проектах, как правило, есть уязвимости, которые не привлекают внимания и вряд ли будут исправлены".
