GitHub өзүнүн NPM пакетинин репозиторий инфраструктурасында эки инцидентти ачып берди. 2-ноябрда, үчүнчү тараптын коопсуздук изилдөөчүлөрү (Kajetan Grzybowski жана Maciej Piechota), Bug Bounty программасынын бир бөлүгү катары, NPM репозиторийинде сиздин каттоо эсебиңизди колдонуу менен каалаган пакеттин жаңы версиясын жарыялоого мүмкүндүк берген алсыздык бар экендигин кабарлашты. мындай жаңыртууларды аткарууга укугу жок.
Алсыздык УПМге суроо-талаптарды иштеткен микросервистердин кодундагы туура эмес уруксат текшерүүлөрүнөн улам келип чыккан. Авторизация кызматы суроо-талапта өткөн маалыматтардын негизинде топтомдун уруксатын текшерүүнү жүргүздү, бирок репозиторийге жаңыртууну жүктөгөн башка кызмат жүктөлгөн топтомдун метадайындарынын мазмунунун негизинде жарыялоо үчүн топтомду аныктады. Ошентип, чабуулчу өзүнүн кире алган пакетинин жаңыртылышын жарыялоону суранышы мүмкүн, бирок пакеттин өзүндө акыры жаңыртыла турган башка пакет жөнүндө маалыматты көрсөтүшү мүмкүн.
Маселе аялуу жөнүндө кабарлангандан кийин 6 сааттан кийин оңдолду, бирок алсыздык УПМде телеметриялык журналдарды жабууга караганда көбүрөөк убакыт болгон. GitHub 2020-жылдын сентябрынан бери бул алсыздыкты колдонгон чабуулдардын издери болгон эмес деп ырастайт, бирок көйгөй мурда пайдаланылбаганына кепилдик жок.
Экинчи окуя 26-октябрда болгон. replicate.npmjs.com сервисинин маалымат базасы менен техникалык иш жүргүзүүдө маалымат базасында тышкы суроо-талаптар үчүн жеткиликтүү болгон купуя маалыматтардын бар экендиги аныкталды, бул өзгөртүүлөр журналында айтылган ички пакеттердин аталыштары жөнүндө маалыматтарды ачып берди. Мындай аталыштар тууралуу маалымат ички долбоорлорго көз карандылык чабуулдарын жүргүзүү үчүн колдонулушу мүмкүн (февраль айында ушундай эле чабуул PayPal, Microsoft, Apple, Netflix, Uber жана башка 30 компаниянын серверлеринде кодду аткарууга уруксат берген).
Кошумчалай кетсек, ири долбоорлордун репозиторийлерин басып алуу жана зыяндуу кодду иштеп чыгуучулардын аккаунттары аркылуу илгерилетүү учурларынын көбөйүшүнө байланыштуу GitHub милдеттүү түрдө эки факторлуу аутентификацияны киргизүүнү чечти. Өзгөртүү 2022-жылдын биринчи кварталында күчүнө кирет жана эң популярдуу тизмеге кирген пакеттердин тейлөөчүлөрүнө жана администраторлоруна тиешелүү болот. Кошумчалай кетсек, инфраструктураны модернизациялоо, анда зыяндуу өзгөртүүлөрдү эрте аныктоо үчүн пакеттердин жаңы версияларына автоматташтырылган мониторинг жана талдоо киргизилет.
Эске сала кетсек, 2020-жылы жүргүзүлгөн изилдөөгө ылайык, пакеттин тейлөөчүлөрүнүн 9.27%ы гана кирүү мүмкүнчүлүгүн коргоо үчүн эки факторлуу аутентификацияны колдонушат, ал эми 13.37% учурда жаңы аккаунттарды каттоодо иштеп чыгуучулар бул жерде пайда болгон бузулган сырсөздөрдү кайра колдонууга аракет кылышкан. белгилүү сырсөз агып. Сырсөздөрдүн коопсуздугун текшерүү учурунда, "12" сыяктуу болжолдуу жана арзыбаган сырсөздөрдү колдонуудан улам NPM эсептеринин 13%ы (пакеттердин 123456%) кирди. Көйгөйлүүлөрдүн арасында Топ-4 эң популярдуу топтомдордун ичинен 20 колдонуучу аккаунту, айына 13 миллиондон ашык жолу жүктөлгөн топтомдору бар 50 аккаунт, айына 40 миллиондон ашык жүктөлүп алынган 10 аккаунт жана айына 282 миллиондон ашык жүктөлүп алынган 1 аккаунт бар. Модулдардын көз карандылык тизмеги боюнча жүктөлүшүн эске алуу менен, ишенимсиз эсептердин компромисси КЭУБдагы бардык модулдардын 52% га чейин таасирин тийгизиши мүмкүн.
Source: opennet.ru