התקפת מקור טרויאני כדי להציג שינויים בקוד שאינם נראים למפתח

חוקרים מאוניברסיטת קיימברידג' פרסמו טכניקה להכנסת קוד זדוני בשקט לתוך קוד מקור שנבדק עמיתים. שיטת ההתקפה המוכנה (CVE-2021-42574) מוצגת תחת השם Trojan Source ומבוססת על יצירת טקסט שנראה אחרת עבור המהדר/המתורגמן והאדם הצופה בקוד. דוגמאות לשיטה מוצגות עבור מהדרים ומתורגמנים שונים המסופקים עבור C, C++ (gcc ו-clang), C#, JavaScript (Node.js), Java (OpenJDK 16), Rust, Go ו-Python.

השיטה מבוססת על שימוש בתווי Unicode מיוחדים בהערות קוד שמשנות את סדר התצוגה של טקסט דו-כיווני. בעזרת תווי בקרה כאלה, חלקים מסוימים של הטקסט יכולים להיות מוצגים משמאל לימין, בעוד שאחרים - מימין לשמאל. בתרגול היומיומי ניתן להשתמש בתווי בקרה כאלה, למשל, להכנסת שורות קוד בעברית או ערבית לקובץ. אבל אם תשלב שורות עם כיווני טקסט שונים בשורה אחת, באמצעות התווים שצוינו, קטעי טקסט המוצגים מימין לשמאל יכולים לחפוף לטקסט רגיל קיים המוצג משמאל לימין.

בשיטה זו, ניתן להוסיף מבנה זדוני לקוד, אך לאחר מכן להפוך את הטקסט עם המבנה הזה לבלתי נראה בעת צפייה בקוד, על ידי הוספת ההערה הבאה או בתוך התווים המילוליים המוצגים מימין לשמאל, מה שיוביל לחלוטין דמויות שונות מונחות על ההכנסה הזדונית. קוד כזה יישאר תקין מבחינה סמנטית, אך יתפרש ויוצג אחרת.

בזמן סקירת קוד, מפתח יעמוד בפני הסדר החזותי של הדמויות ויראה הערה לא מחשידה בעורך טקסט מודרני, ממשק אינטרנט או IDE, אך המהדר והמתורגמן ישתמשו בסדר ההגיוני של התווים ויעשו לעבד את ההכנסה הזדונית כפי שהיא, מבלי לשים לב לטקסט הדו-כיווני בהערות. הבעיה משפיעה על עורכי קוד פופולריים שונים (VS Code, Emacs, Atom), כמו גם ממשקים לצפייה בקוד במאגרים (GitHub, Gitlab, BitBucket וכל מוצרי Atlassian).

ישנן מספר דרכים להשתמש בשיטה כדי ליישם פעולות זדוניות: הוספת ביטוי "החזרה" נסתר, המוביל להשלמת הפונקציה מבעוד מועד; הערת ביטויים שבדרך כלל יהיו גלויים כמבנים חוקיים (לדוגמה, כדי להשבית בדיקות חשובות); הקצאת ערכי מחרוזת אחרים שמובילים לכשלים באימות מחרוזת.

לדוגמה, תוקף עשוי להציע שינוי הכולל את השורה: if access_level != "user{U+202E} {U+2066}// Check if admin{U+2069} {U+2066}" {

אשר יוצג בממשק הביקורת כאילו access_level != “user” {// בדוק אם אדמין

בנוסף, הוצעה וריאנט תקיפה נוסף (CVE-2021-42694), הקשורה לשימוש בהמוגליפים, תווים דומים במראה, אך שונים במשמעותם ובעלי קודי Unicode שונים (לדוגמה, התו "ɑ" דומה ל" a", "ɡ" - "g", "ɩ" - "l"). ניתן להשתמש בתווים דומים בשפות מסוימות בשמות של פונקציות ומשתנים כדי להטעות מפתחים. לדוגמה, ניתן להגדיר שתי פונקציות עם שמות שלא ניתן להבחין בהן המבצעות פעולות שונות. ללא ניתוח מפורט, לא ברור מיד איזו משתי הפונקציות הללו נקראות במקום ספציפי.

כאמצעי אבטחה, מומלץ שמהדרים, מתורגמנים וכלי הרכבה התומכים בתווי Unicode יציגו שגיאה או אזהרה אם יש תווי בקרה לא מזווגים בהערות, מילולי מחרוזת או מזהים המשנים את כיוון הפלט (U+202A, U+202B, U +202C, U+202D, U+202E, U+2066, U+2067, U+2068, U+2069, U+061C, U+200E ו-U+200F). תווים כאלה צריכים להיות אסורים במפורש במפרטי שפת התכנות ויש לכבד אותם בעורכי קוד ובממשקי מאגרים.

תוספת 1: תיקוני פגיעות הוכנו עבור GCC, LLVM/Clang, Rust, Go, Python ובינוטיל. GitHub, Bitbucket וג'ירה גם תיקנו את הבעיה. תיקון עבור GitLab נמצא בתהליך. כדי לזהות קוד בעייתי, מומלץ להשתמש בפקודה: grep -r $'[\u061C\u200E\u200A\u202B\u202A\u202B\u202C\u202D\u2066E\u2067\u2068\u2069\uXNUMX\uXNUMX/' מָקוֹר

נספח 2: Russ Cox, אחד ממפתחי מערכת ההפעלה Plan 9 ושפת התכנות Go, מתח ביקורת על תשומת הלב המוגזמת לשיטת ההתקפה המתוארת, אשר ידועה זה מכבר (Go, Rust, C++, Ruby) ולא נלקחה ברצינות . לדברי קוקס, הבעיה נוגעת בעיקר לתצוגה נכונה של מידע בעורכי קוד ובממשקי אינטרנט, שניתן לפתור באמצעות הכלים הנכונים ומנתחי הקוד במהלך סקירה. לכן, במקום למשוך תשומת לב למתקפות ספקולטיביות, יהיה נכון יותר להתמקד בשיפור תהליכי סקירת קוד ותלות.

ראס קוקס גם מאמין שמהדרים הם לא המקום הנכון לתקן את הבעיה, שכן על ידי איסור על סמלים מסוכנים ברמת המהדר, נותרה שכבה עצומה של כלים שבהם השימוש בסמלים אלו נשאר מקובל, כגון בניית מערכות, אסמבלר, מנהלי חבילות ומנתחי תצורה שונים ונתונים. כדוגמה ניתן פרויקט Rust, שאסר על עיבוד קוד LTR/RTL במהדר, אך לא הוסיף תיקון למנהל החבילות של Cargo, המאפשר התקפה דומה דרך הקובץ Cargo.toml. באופן דומה, קבצים כגון BUILD.bazel, CMakefile, Cargo.toml, Dockerfile, GNUmakefile, Makefile, go.mod, package.json, pom.xml ו- requirements.txt יכולים להפוך למקורות התקפות.

מקור: OpenNet.ru