Plusieurs failles de sécurité découvertes dans les gestionnaires de packages logiciels populaires

Administradores de paquetes de software Des nouvelles

Plusieurs vulnérabilités de sécurité ont été révélées dans des gestionnaires de packages populaires qui, si elles étaient potentiellement exploitées, pourraient être utilisées à mauvais escient pour exécuter du code arbitraire et accéder à des informations sensibles, y compris le code source et les jetons d’accès, à partir de machines compromises.

Il convient toutefois de noter que les failles obligent les développeurs ciblés à gérer un package malveillant en conjonction avec l’un des gestionnaires de packages concernés.

« Cela signifie qu’une attaque ne peut pas être lancée directement contre une machine de développeur à distance et nécessite que le développeur soit amené à charger des fichiers malformés », a déclaré Paul Gerste, chercheur à SonarSource. mentionné. « Mais pouvez-vous toujours connaître et faire confiance aux propriétaires de tous les packages que vous utilisez à partir d’Internet ou des référentiels internes de l’entreprise ? »

Les gestionnaires de packages se réfèrent à systèmes ou un ensemble d’outils utilisés pour automatiser l’installation, la mise à niveau et la configuration des dépendances tierces nécessaires au développement d’applications.

Bien qu’il existe des risques de sécurité inhérents aux bibliothèques malveillantes qui se dirigent vers les référentiels de packages – nécessitant que les dépendances soient correctement examinées pour se protéger contre les attaques de typosquattage et de confusion des dépendances – « l’acte de gérer les dépendances n’est généralement pas considéré comme une opération potentiellement risquée ».

Mais les problèmes récemment découverts dans divers gestionnaires de packages soulignent qu’ils pourraient être transformés en armes par des attaquants pour inciter les victimes à exécuter du code malveillant. Les failles ont été identifiées dans les gestionnaires de packages suivants –

  • Compositeur 1.x < 1.10.23 et 2.x < 2.1.9
  • Groupeur < 2.2.33
  • Tonnelle < 1.8.13
  • Poésie < 1.1.9
  • Fil < 1.22.13
  • pnpm < 6.15.1
  • Pip (pas de solution), et
  • Pipenv (pas de correctif)

La principale des faiblesses est un injection de commande défaut dans Composer’s commande de navigation qui pourraient être exploitées pour obtenir l’exécution de code arbitraire en insérant une URL vers un package malveillant déjà publié.

Si le package utilisait des techniques de typosquattage ou de confusion des dépendances, cela pourrait potentiellement entraîner un scénario dans lequel l’exécution de la commande de navigation pour la bibliothèque pourrait conduire à la récupération d’une charge utile de l’étape suivante qui pourrait ensuite être utilisée pour lancer d’autres attaques.

Supplémentaire injection d’arguments et chemin de recherche non fiable les vulnérabilités découvertes dans Bundler, Poetry, Yarn, Composer, Pip et Pipenv signifiaient qu’un acteur malveillant pouvait obtenir l’exécution de code au moyen d’un exécutable git contenant des logiciels malveillants ou d’un fichier contrôlé par un attaquant tel qu’un Gemfile utilisé pour spécifier les dépendances pour Programmes Ruby.

Suite à la divulgation responsable le 9 septembre 2021, des correctifs ont été publiés pour résoudre les problèmes dans Composer, Bundler, Bower, Poetry, Yarn et Pnpm. Mais Composer, Pip et Pipenv, tous trois affectés par la faille de chemin de recherche non fiable, ont choisi de ne pas corriger le bogue.

« Les développeurs sont une cible attrayante pour les cybercriminels car ils ont accès aux principaux actifs de propriété intellectuelle d’une entreprise : le code source », a déclaré Gerste. « Les compromettre permet aux attaquants de mener de l’espionnage ou d’intégrer un code malveillant dans les produits d’une entreprise. Cela pourrait même être utilisé pour lancer des attaques sur la chaîne d’approvisionnement. »

David
Rate author
Hackarizona