اكتشاف ثغرات أمنية في مديري حزم البرامج

0

اكتشاف ثغرات أمنية في مديري حزم البرامج ,تم الكشف عن العديد من الثغرات الأمنية في مديري الحزم المشهورين والتي ، إذا كان من المحتمل استغلالها ، يمكن إساءة استخدامها لتشغيل تعليمات برمجية عشوائية والوصول إلى المعلومات الحساسة ، بما في ذلك رمز المصدر ورموز الوصول ، من الأجهزة المخترقة.

ومع ذلك ، تجدر الإشارة إلى أن العيوب تتطلب من المطورين المستهدفين التعامل مع حزمة ضارة بالاشتراك مع أحد مديري الحزم المتأثرين.

وقال بول جيرست الباحث في سونار سورس “هذا يعني أنه لا يمكن شن هجوم مباشرة ضد جهاز مطور من جهاز تحكم عن بعد ويتطلب خداع المطور لتحميل ملفات تالفة”. “ولكن هل يمكنك دائمًا أن تعرف وتثق في مالكي جميع الحزم التي تستخدمها من الإنترنت أو مستودعات الشركة الداخلية؟”

يشير مديرو الحزم إلى الأنظمة أو مجموعة من الأدوات المستخدمة لأتمتة التثبيت والترقية وتكوين تبعيات الطرف الثالث المطلوبة لتطوير التطبيقات.

في حين أن هناك مخاطر أمنية متأصلة في المكتبات المارقة التي تشق طريقها إلى حزم المستودعات – مما يستلزم فحص التبعيات بشكل صحيح للحماية من هجمات الخلط المطبعي والارتباك التبعي – فإن “فعل إدارة التبعيات لا يُنظر إليه عادةً على أنه عملية محفوفة بالمخاطر”.

لكن المشكلات المكتشفة حديثًا في مديري الحزم المختلفة تسلط الضوء على أنه يمكن للمهاجمين استخدامهم كسلاح لخداع الضحايا لتنفيذ تعليمات برمجية ضارة. تم تحديد العيوب في مديري الحزم التالية –

  • Composer 1.x < 1.10.23 and 2.x < 2.1.9
  • Bundler < 2.2.33
  • Bower < 1.8.13
  • Poetry < 1.1.9
  • Yarn < 1.22.13
  • pnpm < 6.15.1
  • Pip (no fix), and
  • Pipenv (no fix)

من أهم نقاط الضعف وجود خطأ في إدخال الأوامر في أمر التصفح الخاص بالكومبوزر والذي يمكن إساءة استخدامه لتحقيق تنفيذ تعسفي للتعليمات البرمجية عن طريق إدخال عنوان URL إلى حزمة ضارة تم نشرها بالفعل.

إذا استفادت الحزمة من تقنيات الخلط المطبعي أو التبعية ، فمن المحتمل أن يؤدي ذلك إلى سيناريو يمكن أن يؤدي فيه تشغيل أمر الاستعراض للمكتبة إلى استرداد حمولة المرحلة التالية التي يمكن استخدامها بعد ذلك لشن المزيد من الهجمات.

تم اكتشاف ثغرات أمنية في مسار البحث غير الموثوق به وإدخال الحجج الإضافية في Bundler و Poetry و Yarn و Composer و Pip و Pipenv مما يعني أن الفاعل السيئ يمكن أن يحصل على تنفيذ التعليمات البرمجية عن طريق بوابة تنفيذية بها برامج ضارة أو ملف يتحكم فيه المهاجمون مثل Gemfile يستخدم لتحديد التبعيات لبرامج Ruby.

بعد الإفصاح المسؤول في 9 سبتمبر 2021 ، تم إصدار إصلاحات لمعالجة المشكلات في Composer و Bundler و Bower و Poetry و Yarn و Pnpm. لكن Composer و Pip و Pipenv ، التي تأثرت جميعها بعيب مسار البحث غير الموثوق به ، اختارت عدم معالجة الخطأ.

قال غيرست: “المطورون هدف جذاب لمجرمي الإنترنت لأن لديهم إمكانية الوصول إلى أصول الملكية الفكرية الأساسية للشركة: كود المصدر”. “المساومة عليهم تسمح للمهاجمين بالتجسس أو تضمين تعليمات برمجية ضارة في منتجات الشركة. ويمكن استخدام هذا حتى لشن هجمات على سلسلة التوريد.”

اذا جدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.