Via een nieuw type supply-chain aanval lukte het en onderzoeker om malafide code uit te voeren binnen de netwerken van een aantal van de grootste bedrijven ter wereld, waaronder Apple, Microsoft en Tesla.
Alex Birsan onthulde zijn techniek vorige week in een artikel op Medium. Zijn zogenaamde ‘dependency confusion’ aanval houdt in dat hij kwaadaardige code plaatst in een openbaar repository, zoals NPM, PyPI of RubyGems. Birsan gaf de inzending dezelfde naam als dependencies die worden gebruikt door Apple, Microsoft, Tesla en 32 andere bedrijven. Zo slaagde Birsan erin om te zorgen dat de bedrijven zijn vervalste code installeerden.
Birsan doorzocht internet forums, JavaScript code en per ongeluk gepubliceerde interne pakketten om te achterhalen welke dependencies de software van 35 grote bedrijven gebruiken. Vervolgens uploadde hij zijn code naar online repositories en gebruikte dezelfde namen voor de dependencies. Door hogere versienummers toe te wijzen aan de pakketten dan de bestaande versies, zorgde Birsan dat zijn vervalste code automatisch werd geïnstalleerd.
Verbazingwekkende resultaten
In totaal ontving Birsan 130.000 dollar aan beloningen voor het opsporen van kwetsbaarheden. “Het succesratio was verbazingwekkend”, zegt Birsan. “Het nabootsen van interne pakketnamen was een vrijwel zekere methode om toegang te krijgen tot het netwerk van de grootste tech bedrijven ter wereld.”
Binnen twee dagen nadat Birsan zijn resultaten deelde, probeerden ook andere ontwikkelaars en onderzoekers zijn techniek uit. Beveiligingsbedrijf Sonatype vond binnen NPM maar liefst 150 pakketten die dezelfde methode gebruikten.
Hoe bescherm je je tegen dit soort aanvallen?
Sonatype heeft een lijst aan stappen opgesteld die ontwikkelaars kunnen volgen om dependency confusion aanvallen te voorkomen. Om dependencies beter te beschermen stelt Sonatype voor dat repositories het verplicht maken om de namespace en scope te verifiëren.
Een mogelijke verificatietechniek is om gebruik te maken van een volledig gekwalificeerde domeinnaam. Zo kunnen de rechtmatige eigenaren van een merk of namespace onderdelen publiceren en blijven vijanden buiten de deur.