Các nhà nghiên cứu báo cáo lỗ hổng của chuỗi cung ứng trong kho lưu trữ PHP của Packagist

5 tháng 10, 2022

Các nhà nghiên cứu đã tiết lộ chi tiết về một lỗ hổng bảo mật mức độ nghiêm trọng cao hiện đã được vá trong Packagist, một kho lưu trữ gói phần mềm PHP, có thể đã bị khai thác để gắn kết các cuộc tấn công chuỗi cung ứng phần mềm.

"Lỗ hổng này cho phép giành được quyền kiểm soát Packagist", nhà nghiên cứu Thomas Chauchefoin của SonarSource cho biết trong một báo cáo được chia sẻ với The Hacker News. Packagist được sử dụng bởi quản lý gói Composer PHP để xác định và tải xuống các phần mềm phụ thuộc được các nhà phát triển đưa vào các dự án của họ.


Việc tiết lộ được đưa ra khi việc đưa phần mềm độc hại vào trong các kho mã nguồn mở đang biến thành một đường dẫn hấp dẫn để gắn kết các cuộc tấn công chuỗi cung ứng phần mềm.


Vấn đề được theo dõi là CVE-2022-24828 (điểm CVSS: 8,8), được mô tả như một trường hợp chèn lệnh và có liên quan đến một lỗi Composer tương tự khác (CVE-2021-29472) xuất hiện vào tháng 4 năm 2021, cho thấy một lỗi bản vá không đầy đủ.


"Kẻ tấn công kiểm soát kho lưu trữ Git hoặc Mercurial được liệt kê rõ ràng theo URL trong composer.json của dự án có thể sử dụng các tên nhánh được tạo đặc biệt để thực hiện các lệnh trên máy đang chạy bản cập nhật trình soạn thảo", Packagist tiết lộ trong chương trình Lời khuyên vào tháng 4 năm 2022.


Việc khai thác thành công lỗ hổng có nghĩa là các yêu cầu cập nhật gói dịch vụ có thể đã bị tấn công để phân phối các phần mềm độc hại bằng cách thực hiện các lệnh tùy ý trên máy chủ phụ trợ đang chạy phiên bản chính thức của Packagist.


Chauchefoin giải thích: “Tấn công các dịch vụ phụ trợ sẽ cho phép những kẻ tấn công buộc người dùng tải xuống các phần mềm phụ thuộc vào phần mềm được kiểm duyệt vào lần tiếp theo khi họ thực hiện cài đặt mới hoặc cập nhật gói Composer,” Chauchefoin giải thích.


Điều đó cho thấy rằng không có bằng chứng cho thấy lỗ hổng bảo mật đã được khai thác cho đến nay. Các bản sửa lỗi đã được triển khai trong các phiên bản Composer 1.10.26, 2.2.12 và 2.3.5 sau khi SonarSource báo cáo lỗ hổng vào ngày 7 tháng 4 năm 2022.


Mã nguồn mở ngày càng trở thành mục tiêu lựa chọn sinh lợi cho các tác nhân đe dọa do chúng có thể được vũ khí hóa dễ dàng chống lại chuỗi cung ứng phần mềm.


Đầu tháng 4 này, SonarSource cũng đã trình bày chi tiết về một lỗ hổng bảo mật 15 năm tuổi trong kho lưu trữ PEAR PHP có thể cho phép kẻ tấn công truy cập trái phép và xuất bản các gói giả mạo và thực thi mã tùy ý.


"Mặc dù các chuỗi cung ứng có thể có các hình thức khác nhau, nhưng một trong số đó có tác động mạnh hơn đáng kể: Bằng cách giành quyền truy cập vào các máy chủ phân phối các phần mềm của bên thứ ba này, các tác nhân đe dọa có thể thay đổi chúng để xâm nhập vào hệ thống của người dùng", Chauchefoin nói.



Nguồn: thehackernews.com

Bạn cũng có thể quan tâm

TP-Link sửa lỗi RCE nghiêm trọng trong bộ định tuyến chơi game C5400X phổ biến

4 tháng 6, 2024
Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.

Tin tặc nhắm mục tiêu VPN Check Point để xâm nhập mạng doanh nghiệp

3 tháng 6, 2024
Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.

Sav-Rx tiết lộ vụ tấn công dữ liệu ảnh hưởng đến 2,8 triệu người Mỹ

31 tháng 5, 2024
Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.
Thêm bài viết
Share by: