Read, hack, repeat

Pesquisador invade Microsoft, Apple, PayPal e Netflix… Usando só código aberto

Ramon de Souza

O pesquisador de segurança Alex Birsan descobriu uma nova forma bastante simples e curiosa de realizar um ataque de cadeia de suprimentos — e, mais grave ainda, ele conseguiu atingir grandes nomes do mercado de tecnologia com a sua prova de conceito. Microsoft, Apple, Uber, Netflix, PayPal, Shopify e Tesla são apenas alguns nomes que foram afetados pelo “ataque inofensivo”; no total 35 empresas estavam suscetíveis.

Diferente do que aconteceu recentemente com a SolarWinds, Birsan não teve que usar técnicas ofensivas ou invadir alguma plataforma de TI mantida por fornecedores multinacionais. Tudo o que ele fez foi se aproveitar do fato de que vários aplicativos e serviços online utilizam versões modificadas de projetos de código aberto, incluindo repositórios como PyPI, npm e RubyGems.

A ideia surgiu quando o especialista obteve acesso a um manifesto em JSON que mostrava que o PayPal usava internamente um pacote npm customizado batizado de “analytics-paypal”. Birson se perguntou o que aconteceria caso os sistemas da companhia encontrassem outro repositório com o mesmo nome e com uma data de atualização mais recente no GitHub, e criou uma edição falsa do pacote com um script adulterado.

(Reprodução/Alex Birson)

Bingo! O sistema ignora o pacote customizado armazenado em um servidor fechado e toma dependência daquele hospedado publicamente no GitHub, possivelmente contraindo um malware. Todos os “clones” criados por Birson possuíam uma mensagem dizendo que aquele conteúdo era apenas “para propósitos de pesquisa de segurança”, mas isso não impediu que as companhias acabassem utilizando-os sem querer.

Ih, me confundi

Ao ataque, o pesquisador deu o nome de “confusão de dependência” e conseguiu provar que, com isso, seria capaz de exfiltrar dados sensíveis dos servidores afetados. “A confusão de dependência é bem diferente de typosquatting ou brandjacking, pois não requer qualquer tipo de entrada manual da vítima", explica.

"Vulnerabilidades ou falhas de design em ferramentas automatizadas de construção ou instalação podem fazer com que dependências públicas sejam confundidas com dependências internas com exatamente o mesmo nome”, conclui.

As descobertas de Birson lhe renderam um total de US$ 130 mil (cerca de R$ 699 mil) em recompensas de bug bounty. Tanto a Microsoft quanto a Yelp emitiram comunicados garantindo ter reconfigurado seus gerenciadores de pacotes para evitar que haja novas confusões no futuro; a Apple e o PayPal, procuradas pelo Bleeping Computer, confirmaram a recompensa oferecida, mas não ofereceram maiores detalhes sobre o incidente.


Fonte: Bleeping Computer

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.