• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Ataque por confusión de dependencias afecta a multitud de grandes empresas

Ataque por confusión de dependencias afecta a multitud de grandes empresas

12 febrero, 2021 Por Julián J. Menéndez Deja un comentario

Un novedoso ataque de cadena de suministro afecta a más de 35 empresas tecnológicas, que incluyen a Microsoft, Apple, Paypal, etc, y que culmina con la ejecución remota de código.

La técnica, conocida como ataque de sustición o confusión de dependencias, se aprovecha de la utilización repositorios tanto públicos y privados en proyectos de desarrollo software. Bajo determinadas circunstancias, es posible confundir al gestor de dependencias para que descargue un módulo en control del atacante.

Algunos lenguages de programación incorporan un sistema más o menos oficial para la instalación de dependencias en los proyectos. En el caso de Python, por ejemplo, se utiliza la utilidad pip, que consulta el índice PyPI (Python Package Index) en busca del módulo solicitado.

En palabras del investigador, Alex Birsan, resulta fascinante el nivel de confianza que se otorga a estos repositorios. Un comando sencillo como “pip install <nombre>” desencadena la búsqueda, descarga, instalación y, en última instancia, la ejecución del código solicitado.

Si bien el ataque a estos gestores de dependencias no es nuevo, la idea tras esta nueva variante radica en el abuso en la resolución de conflictos cuando un proyecto dispone tanto de repositorios públicos como privados. De esta manera, cuando se crea un módulo en un repositorio público con el mismo nombre que el usado internamente, el atacante consigue forzar la descarga del primero, con la consiguiente ejecución de código en la máquina de desarrollo afectada.

En la prueba de concepto realizada por el investigador, se dedico a crear módulos a los que se hacían referencias, pero que no existían en los repositorios públicos. Con la intención de no recopilar más información de la necesaria para corroborar la vulnerabilidad, el payload incorporado realizaba consultas DNS a un dominio bajo su control, cuyas peticiones exfiltraban información básica como el nombre del equipo, la ruta en el sistema de ficheros, etc.

En resumen, al término de su investigación, más de 35 grandes compañías habían utilizado alguno de los módulos publicados, lo que da una idea del potencial esta técnica si fuese utilizada con otros fines. No es de extrañar que haya sido recompensado con una buena suma de dinero por los diferentes programas de Bug Bounty de estas empresas.

Referencias
https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610
https://thehackernews.com/2021/02/dependency-confusion-supply-chain.html
https://incolumitas.com/2016/06/08/typosquatting-package-managers/

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Técnicas de Análisis Forense

Hacking con buscadores

Pentesting con FOCA

Publicado en: General Etiquetado como: dependencias, node, python, ruby

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ataque a la plataforma cripto deBridge Finance
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA

Entradas recientes

  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...