O Google tomou medidas para bloquear anúncios de sites de e-commerce que utilizam o serviço Polyfill.io após uma empresa chinesa adquirir o domínio e modificar a biblioteca JavaScript ("polyfill.js") para redirecionar usuários para sites maliciosos e de golpes.
Mais de 110.000 sites que incorporam a biblioteca foram afetados pelo ataque à cadeia de suprimentos, disse a Sansec em um relatório na terça-feira.
Polyfill é uma biblioteca popular que incorpora suporte para funções modernas em navegadores de internet.
No início de fevereiro, preocupações foram levantadas após a compra pelo Funnull, uma empresa chinesa de rede de distribuição de conteúdo (CDN).
O criador original do projeto, Andrew Betts, instou os proprietários de websites a removerem-no imediatamente, adicionando que "nenhum site hoje requer qualquer um dos polyfills na biblioteca polyfill[.]io" e que "a maioria das funcionalidades adicionadas à plataforma web são rapidamente adotadas por todos os principais navegadores, com algumas exceções que geralmente não podem ser "polyfilled" de qualquer maneira, como Web Serial e Web Bluetooth."
O desenvolvimento também motivou os provedores de infraestrutura web Cloudflare e Fastly a oferecerem pontos finais alternativos para ajudar os usuários a se afastarem do polyfill[.]io.
As preocupações são de que qualquer site incorporando um link para o domínio original polyfill[.]io, agora dependerá do Funnull para manter e proteger o projeto subjacente para evitar o risco de um ataque à cadeia de suprimentos, os pesquisadores da Cloudflare, Sven Sauleau e Michael Tremante, observaram na época.
Tal ataque ocorreria se a terceira parte subjacente fosse comprometida ou alterasse o código fornecido aos usuários finais de maneiras nefastas, causando, por consequência, a comprometimento de todos os websites usando a ferramenta.
A firma holandesa de segurança e-commerce disse que o domínio "cdn.polyfill[.]io" desde então foi pego injetando malware que redireciona usuários para sites de apostas esportivas e pornográficos.
O código tem proteção específica contra engenharia reversa e só ativa em dispositivos móveis específicos em horários específicos.
Também não ativa quando detecta um usuário administrador.
Além disso, atrasa a execução quando um serviço de análise web é encontrado, presumivelmente para não acabar nas estatísticas. A c/side, com sede em São Francisco, também emitiu um alerta próprio, observando que os mantenedores do domínio adicionaram um cabeçalho de Proteção de Segurança Cloudflare ao seu site entre 7 e 8 de março de 2024.
As descobertas seguem um aviso sobre uma falha de segurança crítica impactando websites Adobe Commerce e Magento (
CVE-2024-34102
, pontuação CVSS: 9.8) que continua amplamente sem correção apesar de correções estarem disponíveis desde 11 de junho de 2024.
"Por si só, permite que qualquer pessoa leia arquivos privados (como aqueles com senhas)," disse a Sansec, que codinomeou a cadeia de exploração de CosmicSting.
No entanto, combinado com o recente bug iconv no Linux, transforma-se no pesadelo de segurança da execução de código remoto. Desde então, emergiu que terceiros podem obter acesso de administrador à API sem requerer uma versão Linux vulnerável ao problema iconv (
CVE-2024-2961
), tornando-o uma questão ainda mais grave.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...