Mae GitHub wedi datgelu dau ddigwyddiad yn ei seilwaith storfa becyn NPM. Ar Dachwedd 2, adroddodd ymchwilwyr diogelwch trydydd parti (Kajetan Grzybowski a Maciej Piechota), fel rhan o'r rhaglen Bug Bounty, bresenoldeb bregusrwydd yn ystorfa NPM sy'n eich galluogi i gyhoeddi fersiwn newydd o unrhyw becyn sy'n defnyddio'ch cyfrif, nad yw wedi'i awdurdodi i berfformio diweddariadau o'r fath.
Achoswyd y bregusrwydd gan wiriadau caniatΓ’d anghywir yn y cod microwasanaethau sy'n prosesu ceisiadau i NPM. Cynhaliodd y gwasanaeth awdurdodi wiriadau caniatΓ’d pecyn yn seiliedig ar y data a basiwyd yn y cais, ond penderfynodd gwasanaeth arall a uwchlwythodd y diweddariad i'r ystorfa y pecyn i'w gyhoeddi yn seiliedig ar gynnwys metadata'r pecyn a uwchlwythwyd. Felly, gallai ymosodwr ofyn am gyhoeddi diweddariad ar gyfer ei becyn, y mae ganddo fynediad iddo, ond nodi yn y pecyn ei hun wybodaeth am becyn arall, a fyddai'n cael ei ddiweddaru yn y pen draw.
Roedd y mater yn sefydlog 6 awr ar Γ΄l adrodd am y bregusrwydd, ond roedd y bregusrwydd yn bresennol yn NPM yn hirach na gorchudd logiau telemetreg. Mae GitHub yn honni na fu unrhyw olion o ymosodiadau gan ddefnyddio'r bregusrwydd hwn ers mis Medi 2020, ond nid oes unrhyw sicrwydd nad yw'r broblem wedi'i hecsbloetio o'r blaen.
Digwyddodd yr ail ddigwyddiad ar Hydref 26. Yn ystod gwaith technegol gyda chronfa ddata'r gwasanaeth replicate.npmjs.com, datgelwyd presenoldeb data cyfrinachol yn y gronfa ddata sy'n hygyrch i geisiadau allanol, gan ddatgelu gwybodaeth am enwau pecynnau mewnol a grybwyllwyd yn y log newid. Gellir defnyddio gwybodaeth am enwau o'r fath i gyflawni ymosodiadau dibyniaeth mewn prosiectau mewnol (ym mis Chwefror, caniataodd ymosodiad tebyg i god gael ei weithredu ar weinyddion PayPal, Microsoft, Apple, Netflix, Uber a 30 o gwmnΓ―au eraill).
Yn ogystal, oherwydd y nifer cynyddol o achosion o storfeydd prosiectau mawr yn cael eu herwgipio a chod maleisus yn cael ei hyrwyddo trwy gyfaddawdu cyfrifon datblygwyr, mae GitHub wedi penderfynu cyflwyno dilysiad dau ffactor gorfodol. Bydd y newid yn dod i rym yn chwarter cyntaf 2022 a bydd yn berthnasol i gynhalwyr a gweinyddwyr pecynnau sydd wedi'u cynnwys yn y rhestr fwyaf poblogaidd. Yn ogystal, adroddir am foderneiddio'r seilwaith, lle bydd monitro a dadansoddi awtomataidd o fersiynau newydd o becynnau yn cael eu cyflwyno er mwyn canfod newidiadau maleisus yn gynnar.
Gadewch i ni gofio, yn Γ΄l astudiaeth a gynhaliwyd yn 2020, mai dim ond 9.27% ββo gynhalwyr pecynnau sy'n defnyddio dilysiad dau ffactor i ddiogelu mynediad, ac mewn 13.37% o achosion, wrth gofrestru cyfrifon newydd, ceisiodd datblygwyr ailddefnyddio cyfrineiriau dan fygythiad a ymddangosodd yn gollyngiadau cyfrinair hysbys. Yn ystod gwiriad diogelwch cyfrinair, cyrchwyd 12% o gyfrifon NPM (13% o becynnau) oherwydd y defnydd o gyfrineiriau rhagweladwy a dibwys fel β123456.β Ymhlith y rhai problemus roedd 4 cyfrif defnyddiwr o'r 20 pecyn mwyaf poblogaidd, 13 cyfrif gyda phecynnau wedi'u llwytho i lawr fwy na 50 miliwn o weithiau'r mis, 40 gyda mwy na 10 miliwn o lawrlwythiadau'r mis, a 282 gyda mwy nag 1 miliwn o lawrlwythiadau bob mis. Gan ystyried llwytho modiwlau ar hyd cadwyn o ddibyniaethau, gallai cyfaddawdu cyfrifon diymddiried effeithio ar hyd at 52% o'r holl fodiwlau yn yr NPM.
Ffynhonnell: opennet.ru