GitHub te divilge de ensidan nan enfrastrikti depo pake NPM li yo. 2 Novanm, chèchè sekirite twazyèm pati yo (Kajetan Grzybowski ak Maciej Piechota), nan kad pwogram Bug Bounty, rapòte prezans yon vilnerabilite nan depo NPM ki pèmèt ou pibliye yon nouvo vèsyon nenpòt pake lè l sèvi avèk kont ou, ki pa otorize pou fè mizajou sa yo.
Vilnerabilite a te koze pa chèk pèmisyon kòrèk nan kòd mikwosèvis ki trete demann bay NPM. Sèvis otorizasyon an te fè chèk pèmisyon pakè ki baze sou done yo te pase nan demann lan, men yon lòt sèvis ki te telechaje aktyalizasyon a nan depo a te detèmine pake a pou pibliye dapre kontni metadata pake a telechaje. Kidonk, yon atakè ta ka mande piblikasyon yon aktyalizasyon pou pake li, kote li gen aksè, men presize nan pake a li menm enfòmasyon sou yon lòt pake, ki ta evantyèlman mete ajou.
Pwoblèm nan te fikse 6 èdtan apre yo te rapòte vilnerabilite a, men vilnerabilite a te prezan nan NPM pi lontan pase kouvèti mòso telemetri. GitHub deklare ke pa te gen okenn tras nan atak ki itilize vilnerabilite sa a depi septanm 2020, men pa gen okenn garanti ke pwoblèm nan pa te eksplwate anvan.
Dezyèm ensidan an te fèt 26 oktòb. Pandan travay teknik ak baz done sèvis replicate.npmjs.com, prezans done konfidansyèl nan baz done ki aksesib a demann ekstèn yo te revele, revele enfòmasyon sou non pakè entèn yo te mansyone nan jounal chanjman an. Enfòmasyon sou non sa yo ka itilize pou fè atak depandans sou pwojè entèn yo (nan mwa fevriye, yon atak menm jan an te pèmèt kòd yo dwe egzekite sou sèvè PayPal, Microsoft, Apple, Netflix, Uber ak 30 lòt konpayi).
Anplis de sa, akòz ogmantasyon kantite ka gwo depo pwojè yo te vòlè ak kòd move yo te ankouraje nan konpwomèt kont pwomotè, GitHub te deside prezante otantifikasyon obligatwa de faktè. Chanjman an pral antre an aplikasyon nan premye trimès 2022 epi li pral aplike pou moun k ap antreteni yo ak administratè pakè ki enkli nan lis ki pi popilè yo. Anplis de sa, yo rapòte sou modènizasyon enfrastrikti a, kote siveyans otomatik ak analiz nouvo vèsyon pakè yo pral prezante pou deteksyon bonè nan chanjman move.
Ann sonje ke, dapre yon etid ki fèt an 2020, sèlman 9.27% nan moun ki kenbe pake itilize otantifikasyon de faktè pou pwoteje aksè, ak nan 13.37% nan ka yo, lè yo anrejistre nouvo kont, devlopè yo te eseye reitilize modpas konpwomèt ki te parèt nan li te ye modpas fuites. Pandan yon revizyon sekirite modpas, yo te jwenn aksè nan 12% kont NPM (13% pakè) akòz itilizasyon modpas previzib ak trivial tankou "123456". Pami pwoblèm yo te genyen 4 kont itilizatè ki soti nan Top 20 pakè ki pi popilè yo, 13 kont ak pakè telechaje plis pase 50 milyon fwa pa mwa, 40 ak plis pase 10 milyon telechajman pa mwa, ak 282 ak plis pase 1 milyon telechajman pa mwa. Lè w konsidere chaj modil yo sou yon chèn depandans, konpwomi kont ki pa fè konfyans yo ka afekte jiska 52% tout modil nan NPM.
Sous: opennet.ru