Уязвимост, която позволява пускането на актуализация за всеки пакет в NPM хранилището

GitHub разкри два инцидента в своята инфраструктура за хранилище на NPM пакети. На 2 ноември изследователи на сигурността на трети страни (Kajetan Grzybowski и Maciej Piechota), като част от програмата Bug Bounty, съобщиха за наличието на уязвимост в NPM хранилището, което ви позволява да публикувате нова версия на всеки пакет, използвайки вашия акаунт, който не е упълномощен да извършва такива актуализации.

Уязвимостта е причинена от неправилни проверки на разрешения в кода на микроуслуги, които обработват заявки към NPM. Услугата за оторизация извърши проверки на разрешения за пакет въз основа на данните, предадени в заявката, но друга услуга, която качи актуализацията в хранилището, определи пакета за публикуване въз основа на съдържанието на метаданни на качения пакет. По този начин атакуващият може да поиска публикуване на актуализация за неговия пакет, до който има достъп, но да посочи в самия пакет информация за друг пакет, който евентуално ще бъде актуализиран.

Проблемът беше коригиран 6 часа след докладването на уязвимостта, но уязвимостта присъстваше в NPM по-дълго, отколкото покриват регистрационните файлове на телеметрията. GitHub твърди, че няма следи от атаки, използващи тази уязвимост от септември 2020 г., но няма гаранция, че проблемът не е бил използван преди.

Вторият инцидент е на 26 октомври. По време на техническата работа с базата данни на услугата replicate.npmjs.com беше разкрито наличието на поверителни данни в базата данни, достъпна за външни заявки, разкриваща информация за имената на вътрешните пакети, които са споменати в регистъра на промените. Информацията за такива имена може да се използва за извършване на атаки със зависимост към вътрешни проекти (през февруари подобна атака позволи изпълнението на код на сървърите на PayPal, Microsoft, Apple, Netflix, Uber и още 30 компании).

В допълнение, поради нарастващия брой случаи на хакнати хранилища на големи проекти и популяризиране на зловреден код чрез компрометиране на акаунти на разработчици, GitHub реши да въведе задължително двуфакторно удостоверяване. Промяната ще влезе в сила през първото тримесечие на 2022 г. и ще се прилага за поддържащите и администраторите на пакети, включени в най-популярния списък. Допълнително се съобщава за модернизация на инфраструктурата, в която ще бъде въведен автоматизиран мониторинг и анализ на новите версии на пакети за ранно откриване на злонамерени промени.

Нека си припомним, че според проучване, проведено през 2020 г., само 9.27% от поддържащите пакети използват двуфакторно удостоверяване за защита на достъпа, а в 13.37% от случаите, когато регистрират нови акаунти, разработчиците се опитват да използват повторно компрометирани пароли, които се появяват в изтичане на известни пароли. По време на преглед на сигурността на паролата, 12% от акаунтите на NPM (13% от пакетите) са били достъпни поради използването на предвидими и тривиални пароли като „123456“. Сред проблемните бяха 4 потребителски акаунта от Топ 20 на най-популярните пакети, 13 акаунта с пакети, изтеглени повече от 50 милиона пъти на месец, 40 с над 10 милиона изтегляния на месец и 282 с над 1 милион изтегляния на месец. Като се вземе предвид зареждането на модули по веригата от зависимости, компрометирането на ненадеждни акаунти може да засегне до 52% от всички модули в NPM.

Източник: opennet.ru