PyPI (Python Package Index) Python paketų saugyklos administratoriai pranešė apie incidentą, dėl kurio užpuolikas sugebėjo perimti arrapi, tmdbapis, nagerapi ir pmmutils projektų kontrolę ir per mėnesį atsisiunčiama apie 4.5 tūkst. Visi projektai buvo prižiūrimi vieno autoriaus (meisnate12, Nathan Taggart) ir buvo užfiksuoti dėl jo paskyros pažeidimo. Užpuolikas, įgijęs projektų kontrolę, buvo greitai užblokuotas ir neturėjo laiko atlikti pakeitimų ir sukurti modifikuotų leidimų.
Perėmimas buvo atliktas pakeitus projekto savininką. Užpuolikas sukūrė paskyrą „dvolk“, tada pagrindinio prižiūrėtojo „meisnate12“ vardu buvo sugeneruotas kvietimas įtraukti vartotoją „dvolk“ tarp prižiūrėtojų, kurį priėmęs ir gavęs valdymo prieigą prie projekto pašalino originalus autorius iš projekto ir liko kaip vienas prižiūrėtojas. Atlikus panašias manipuliacijas, visiems projektams buvo pradėtas „meisnate12“ paskyros ištrynimo procesas.
Praėjus 5 valandoms po projektų perėmimo, PyPI administratoriai gavo pranešimą iš pirminio autoriaus apie tai, kas atsitiko, užblokavo užpuoliko paskyrą ir atkūrė projektų nuosavybę. Incidento priežastimi buvo nustatyta netinkama paskyros apsauga ir dviejų veiksnių autentifikavimo nebuvimas, dėl kurio užpuolikas galėjo nustatyti vartotojo „meisnate12“ prisijungimo parametrus ir atlikti veiksmus jo vardu.
Iki šių metų pabaigos PyPI saugykla ketina visas vartotojų paskyras, palaikančias bent vieną projektą, arba kuruojančių organizacijų narius perkelti į privalomą dviejų veiksnių autentifikavimą. Dviejų veiksnių autentifikavimo naudojimas sustiprins kūrimo proceso apsaugą ir apsaugo projektus nuo kenkėjiškų pakeitimų, atsirandančių dėl nutekėjusių kredencialų, to paties slaptažodžio naudojimo pažeistose svetainėse, įsilaužimo į kūrėjo vietinę sistemą ar socialinės inžinerijos naudojimo. metodus.
Pageidautini dviejų veiksnių autentifikavimo metodai yra „WebAuthn“ su FIDO U2F prieigos raktais arba vienkartinės slaptažodžio autentifikavimo programos, palaikančios TOTP, pvz., „Authy“, „Google Authenticator“ ir „FreeOTP“. Atsisiunčiant paketus kūrėjams papildomai rekomenduojama pereiti prie „Patikimų leidėjų“ autentifikavimo metodo, pagrįsto OpenID Connect (OIDC) standartu arba naudoti API prieigos raktus.
Šaltinis: opennet.ru
