GitHub hefur greint frá tveimur atvikum í NPM pakkageymsluinnviði sínu. Þann 2. nóvember tilkynntu þriðju aðilar öryggisrannsakendur (Kajetan Grzybowski og Maciej Piechota), sem hluti af Bug Bounty forritinu, tilvist veikleika í NPM geymslunni sem gerir þér kleift að birta nýja útgáfu af hvaða pakka sem er með reikningnum þínum, sem hefur ekki heimild til að framkvæma slíkar uppfærslur.
Varnarleysið stafaði af röngum heimildaathugunum í kóða örþjónustu sem vinnur úr beiðnum til NPM. Leyfisþjónustan framkvæmdi pakkaheimildaathuganir á grundvelli gagna sem send voru í beiðninni, en önnur þjónusta sem hlóð uppfærslunni upp í geymsluna ákvað pakkann til að birta út frá lýsigagnainnihaldi pakkans sem hlaðið var upp. Þannig gæti árásarmaður óskað eftir birtingu uppfærslu fyrir pakkann sinn, sem hann hefur aðgang að, en tilgreint í pakkanum sjálfum upplýsingar um annan pakka, sem að lokum yrði uppfærður.
Vandamálið var lagað 6 klukkustundum eftir að tilkynnt var um varnarleysið, en varnarleysið var til staðar í NPM lengur en fjarmælingaskrár ná yfir. GitHub heldur því fram að engin ummerki hafi verið um árásir sem nota þennan varnarleysi síðan í september 2020, en það er engin trygging fyrir því að vandamálið hafi ekki verið nýtt áður.
Annað atvikið átti sér stað 26. október. Við tæknivinnu með gagnagrunni replicate.npmjs.com þjónustunnar kom í ljós að trúnaðargögn í gagnagrunninum voru aðgengileg fyrir utanaðkomandi beiðnir, sem leiddi í ljós upplýsingar um nöfn innri pakka sem nefnd voru í breytingaskránni. Hægt er að nota upplýsingar um slík nöfn til að framkvæma háðárásir á innri verkefni (í febrúar leyfði svipaður árás að keyra kóða á netþjónum PayPal, Microsoft, Apple, Netflix, Uber og 30 annarra fyrirtækja).
Þar að auki, vegna vaxandi fjölda tilvika þar sem stórum verkefnageymslum hefur verið rænt og illgjarn kóða er kynntur með málamiðlunarreikningum þróunaraðila, hefur GitHub ákveðið að taka upp skyldubundna tvíþætta auðkenningu. Breytingin tekur gildi á fyrsta ársfjórðungi 2022 og mun gilda um umsjónarmenn og umsjónarmenn pakka sem eru á vinsælasta listanum. Að auki er greint frá nútímavæðingu innviðanna, þar sem sjálfvirkt eftirlit og greining á nýjum útgáfum af pakka verður kynnt til að greina skaðlegar breytingar snemma.
Við skulum muna að samkvæmt rannsókn sem gerð var árið 2020 nota aðeins 9.27% af umsjónarmönnum pakka tveggja þátta auðkenningu til að vernda aðgang og í 13.37% tilvika, við skráningu nýrra reikninga, reyndu þróunaraðilar að endurnýta hættuleg lykilorð sem birtust í þekktur lykilorðsleki. Við endurskoðun lykilorðaöryggis var farið í 12% af NPM reikningum (13% pakka) vegna notkunar fyrirsjáanlegra og léttvægra lykilorða eins og „123456“. Meðal þeirra erfiðu voru 4 notendareikningar af topp 20 vinsælustu pakkunum, 13 reikningar með pakka sem hlaðið var niður meira en 50 milljón sinnum á mánuði, 40 með meira en 10 milljón niðurhalum á mánuði og 282 með meira en 1 milljón niðurhali á mánuði. Að teknu tilliti til hleðslu eininga meðfram keðju ósjálfstæðis gæti málamiðlun á ótraustum reikningum haft áhrif á allt að 52% allra eininga í NPM.
Heimild: opennet.ru