Pesquisadores identificaram uma vulnerabilidade de confusão de dependência afetando um projeto arquivado da Apache chamado Cordova App Harness.
Ataques de confusão de dependência ocorrem devido ao fato de que gerenciadores de pacotes verificam os repositórios públicos antes dos registros privados, permitindo assim que um ator de ameaça publique um pacote malicioso com o mesmo nome em um repositório de pacotes público.
Isso faz com que o gerenciador de pacotes baixe inadvertidamente o pacote fraudulento do repositório público em vez do repositório privado pretendido.
Se bem-sucedido, isso pode ter consequências sérias, como instalar em todos os clientes a jusante que instalam o pacote.
Uma análise de maio de 2023 dos pacotes npm e PyPI armazenados em ambientes de nuvem pela empresa de segurança empresarial Orca revelou que quase 49% das organizações são vulneráveis a um ataque de confusão de dependência.
Embora o npm e outros gerenciadores de pacotes tenham introduzido correções para priorizar as versões privadas, a firma de segurança de aplicativos Legit Security disse que encontrou o projeto Cordova App Harness referenciando uma dependência interna chamada cordova-harness-client sem um caminho de arquivo relativo.
A iniciativa de código aberto foi descontinuada pela Apache Software Foundation (ASF) em 18 de abril de 2019.
Como demonstrado pela Legit Security, isso deixou a porta aberta para um ataque à cadeia de suprimentos ao fazer o upload de uma versão maliciosa sob o mesmo nome com um número de versão mais alto, fazendo com que o npm recuperasse a versão falsa do registro público.
Com o pacote falso atraindo mais de 100 downloads após ser carregado no npm, indica que o projeto arquivado ainda está sendo utilizado, provavelmente apresentando riscos severos aos usuários.
Em um cenário de ataque hipotético, um atacante poderia sequestrar a biblioteca para servir código malicioso que poderia ser executado no host alvo após a instalação do pacote.
A equipe de segurança da Apache desde então abordou o problema assumindo a propriedade do pacote cordova-harness-client.
Vale ressaltar que as organizações são aconselhadas a criar pacotes públicos como placeholders para evitar ataques de confusão de dependência.
"Esta descoberta destaca a necessidade de considerar projetos de terceiros e dependências como potenciais pontos fracos na fábrica de desenvolvimento de software, especialmente projetos de código aberto arquivados que podem não receber atualizações regulares ou patches de segurança", disse o pesquisador de segurança Ofek Haviv.
Embora possa ser tentador deixá-los como estão, esses projetos tendem a ter vulnerabilidades que não estão recebendo atenção e provavelmente não serão corrigidas.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...