Trojas avota uzbrukums, lai ieviestu izstrādātājam neredzamas izmaiņas kodā

Pētnieki no Kembridžas universitātes ir publicējuši paņēmienu ļaunprātīga koda klusai ievietošanai salīdzinošā avota kodā. Sagatavotā uzbrukuma metode (CVE-2021-42574) tiek prezentēta ar nosaukumu Trojan Source, un tā ir balstīta uz tāda teksta veidošanu, kas kompilatoram/tulkam un personai, kas skatās kodu, izskatās savādāk. Metodes piemēri ir parādīti dažādiem kompilatoriem un tulkiem, kas nodrošināti C, C++ (gcc un clang), C#, JavaScript (Node.js), Java (OpenJDK 16), Rust, Go un Python.

Metode ir balstīta uz īpašu unikoda rakstzīmju izmantošanu koda komentāros, kas maina divvirzienu teksta attēlošanas secību. Ar šādu vadības rakstzīmju palīdzību dažas teksta daļas var attēlot no kreisās puses uz labo, bet citas - no labās uz kreiso. Ikdienas praksē šādas kontroles rakstzīmes var izmantot, piemēram, lai failā ievietotu koda rindas ebreju vai arābu valodā. Bet, ja vienā rindā apvienojat rindas ar dažādiem teksta virzieniem, izmantojot norādītās rakstzīmes, teksta fragmenti, kas tiek rādīti no labās puses uz kreiso pusi, var pārklāties ar esošo parasto tekstu, kas tiek rādīts no kreisās puses uz labo.

Izmantojot šo metodi, kodam var pievienot ļaunprātīgu konstrukciju, bet pēc tam tekstu ar šo konstrukciju padarīt neredzamu, skatot kodu, pievienojot sekojošajā komentārā vai burtiskajās rakstzīmēs, kas parādītas no labās uz kreiso pusi, kas novedīs pie pilnīgas dažādas rakstzīmes tiek uzliktas uz ļaunprātīgas ievietošanas. Šāds kods paliks semantiski pareizs, taču tiks interpretēts un attēlots atšķirīgi.

Pārskatot kodu, izstrādātājs saskarsies ar rakstzīmju vizuālo secību un modernā teksta redaktorā, tīmekļa saskarnē vai IDE redzēs neaizdomīgu komentāru, bet kompilators un tulks izmantos rakstzīmju loģisko secību un apstrādājiet ļaunprātīgo ievietojumu tādu, kāds tas ir, nepievēršot uzmanību divvirzienu tekstam komentāros. Problēma skar dažādus populārus kodu redaktorus (VS Code, Emacs, Atom), kā arī saskarnes koda skatīšanai krātuvēs (GitHub, Gitlab, BitBucket un visi Atlassian produkti).

Ir vairāki veidi, kā izmantot metodi, lai īstenotu ļaunprātīgas darbības: pievienojot slēpto “atgriešanās” izteiksmi, kas noved pie funkcijas pabeigšanas pirms laika; komentējot izteiksmes, kas parasti būtu redzamas kā derīgas konstrukcijas (piemēram, lai atspējotu svarīgas pārbaudes); citu virkņu vērtību piešķiršana, kas izraisa virknes validācijas kļūmes.

Piemēram, uzbrucējs var ierosināt izmaiņas, kas ietver rindiņu: if access_level != "user{U+202E} {U+2066}// Pārbaudiet, vai admin{U+2069} {U+2066}" {

kas tiks parādīts pārskatīšanas saskarnē it kā piekļuves_līmenis != “lietotājs” { // Pārbaudiet, vai administrators

Turklāt ir piedāvāts vēl viens uzbrukuma variants (CVE-2021-42694), kas saistīts ar homoglifu izmantošanu, rakstzīmēm, kas pēc izskata ir līdzīgas, bet atšķiras pēc nozīmes un kurām ir atšķirīgi unikoda kodi (piemēram, rakstzīme “ɑ” atgādina “ a”, “ɡ” - “g”, “ɩ” - “l”). Līdzīgas rakstzīmes dažās valodās var izmantot funkciju un mainīgo nosaukumos, lai maldinātu izstrādātājus. Piemēram, var definēt divas funkcijas ar neatšķiramiem nosaukumiem, kas veic dažādas darbības. Bez detalizētas analīzes nav uzreiz skaidrs, kura no šīm divām funkcijām tiek izsaukta konkrētā vietā.

Drošības nolūkos ir ieteicams kompilatoriem, tulkiem un montāžas rīkiem, kas atbalsta unikoda rakstzīmes, parādīt kļūdu vai brīdinājumu, ja komentāros, virkņu literāļos vai identifikatoros ir nesapārotas vadības rakstzīmes, kas maina izvades virzienu (U+202A, U+202B, U +202C, U+202D, U+202E, U+2066, U+2067, U+2068, U+2069, U+061C, U+200E un U+200F). Šādas rakstzīmes būtu arī nepārprotami jāaizliedz programmēšanas valodas specifikācijās, un tās būtu jāievēro kodu redaktoros un repozitoriju saskarnēs.

1. pielikums: ir sagatavoti ievainojamības ielāpi GCC, LLVM/Clang, Rust, Go, Python un binutils. Problēmu atrisināja arī GitHub, Bitbucket un Jira. Notiek GitLab labošana. Lai identificētu problemātisko kodu, ieteicams izmantot komandu: grep -r $'[\u061C\u200E\u200F\u202A\u202B\u202C\u202D\u202E\u2066\u2067\u2068\u2069]' /path/to/ avots

2. papildinājums: Russ Cox, viens no Plan 9 OS un programmēšanas valodas Go izstrādātājiem, kritizēja pārmērīgo uzmanību aprakstītajai uzbrukuma metodei, kas jau sen ir zināma (Go, Rust, C++, Ruby) un netika uztverta nopietni. . Pēc Koksa domām, problēma galvenokārt attiecas uz pareizu informācijas parādīšanu kodu redaktoros un tīmekļa saskarnēs, ko var atrisināt, pārskatīšanas laikā izmantojot pareizos rīkus un kodu analizatorus. Tāpēc tā vietā, lai pievērstu uzmanību spekulatīviem uzbrukumiem, būtu pareizāk koncentrēties uz koda un atkarības pārskatīšanas procesu uzlabošanu.

Rass Kokss arī uzskata, ka kompilatori nav īstā vieta problēmas novēršanai, jo, aizliedzot bīstamus simbolus kompilatoru līmenī, paliek milzīgs rīku slānis, kurā šo simbolu izmantošana joprojām ir pieņemama, piemēram, būvēšanas sistēmas, montieri, pakotņu pārvaldnieki un dažādi konfigurācijas parseri un dati. Kā piemērs ir dots projekts Rust, kas aizliedza apstrādāt LTR/RTL kodu kompilatorā, bet nepievienoja labojumu Cargo pakotņu pārvaldniekam, kas pieļauj līdzīgu uzbrukumu caur Cargo.toml failu. Līdzīgi faili, piemēram, BUILD.bazel, CMakefile, Cargo.toml, Dockerfile, GNUmakefile, Makefile, go.mod, package.json, pom.xml un prasības.txt, var kļūt par uzbrukumu avotiem.

Avots: opennet.ru