GitHub żvela żewġ inċidenti fl-infrastruttura tar-repożitorju tal-pakketti NPM tiegħu. Fit-2 ta’ Novembru, riċerkaturi tas-sigurtà ta’ partijiet terzi (Kajetan Grzybowski u Maciej Piechota), bħala parti mill-programm Bug Bounty, irrappurtaw il-preżenza ta’ vulnerabbiltà fir-repożitorju tal-NPM li jippermettilek tippubblika verżjoni ġdida ta’ kwalunkwe pakkett billi tuża l-kont tiegħek, li mhix awtorizzata twettaq tali aġġornamenti.
Il-vulnerabbiltà kienet ikkawżata minn kontrolli tal-permessi mhux korretti fil-kodiċi tal-mikroservizzi li jipproċessaw it-talbiet lill-NPM. Is-servizz ta’ awtorizzazzjoni wettaq kontrolli tal-permessi tal-pakkett ibbażati fuq id-dejta mgħoddija fit-talba, iżda servizz ieħor li tella’ l-aġġornament fir-repożitorju ddetermina l-pakkett biex jippubblika abbażi tal-kontenut tal-metadejta tal-pakkett imtella’. Għalhekk, attakkant jista 'jitlob il-pubblikazzjoni ta' aġġornament għall-pakkett tiegħu, li għalih għandu aċċess, iżda jispeċifika fil-pakkett innifsu informazzjoni dwar pakkett ieħor, li eventwalment jiġi aġġornat.
Il-kwistjoni ġiet irranġata 6 sigħat wara li ġiet irrappurtata l-vulnerabbiltà, iżda l-vulnerabbiltà kienet preżenti fl-NPM itwal milli jkopru l-ġurnali tat-telemetrija. GitHub isostni li ma kien hemm l-ebda traċċi ta 'attakki li jużaw din il-vulnerabbiltà minn Settembru 2020, iżda m'hemm l-ebda garanzija li l-problema ma ġietx sfruttata qabel.
It-tieni inċident seħħ fis-26 ta’ Ottubru. Matul ix-xogħol tekniku mad-database tas-servizz replicate.npmjs.com, ġiet żvelata l-preżenza ta 'data kunfidenzjali fid-database aċċessibbli għal talbiet esterni, li tiżvela informazzjoni dwar l-ismijiet ta' pakketti interni li ssemmew fir-reġistru tal-bidliet. Informazzjoni dwar ismijiet bħal dawn tista 'tintuża biex jitwettqu attakki ta' dipendenza fuq proġetti interni (fi Frar, attakk simili ippermetta li jiġi esegwit kodiċi fuq is-servers ta 'PayPal, Microsoft, Apple, Netflix, Uber u 30 kumpanija oħra).
Barra minn hekk, minħabba n-numru dejjem jikber ta 'każijiet ta' repożitorji ta 'proġetti kbar li qed jiġu maħtufa u kodiċi malizzjuż li qed jiġi promoss permezz ta' kontijiet ta 'żviluppatur kompromessi, GitHub iddeċieda li jintroduċi awtentikazzjoni obbligatorja b'żewġ fatturi. Il-bidla se tidħol fis-seħħ fl-ewwel kwart tal-2022 u se tapplika għall-manutenzjoni u l-amministraturi tal-pakketti inklużi fil-lista l-aktar popolari. Barra minn hekk, huwa rrappurtat dwar il-modernizzazzjoni tal-infrastruttura, li fiha se jiġu introdotti monitoraġġ awtomatizzat u analiżi ta 'verżjonijiet ġodda ta' pakketti għal skoperta bikrija ta 'bidliet malizzjużi.
Ejja niftakru li, skont studju li sar fl-2020, 9.27% biss ta’ dawk li jżommu l-pakketti jużaw awtentikazzjoni b’żewġ fatturi biex jipproteġu l-aċċess, u fi 13.37% tal-każijiet, meta jirreġistraw kontijiet ġodda, l-iżviluppaturi ppruvaw jerġgħu jużaw passwords kompromessi li dehru f’ tnixxijiet ta' password magħrufa. Waqt reviżjoni tas-sigurtà tal-password, ġew aċċessati 12% tal-kontijiet NPM (13% tal-pakketti) minħabba l-użu ta 'passwords prevedibbli u trivjali bħal "123456." Fost dawk problematiċi kien hemm 4 kontijiet tal-utent mill-Top 20 l-aktar pakketti popolari, 13-il kont b'pakketti mniżżla aktar minn 50 miljun darba fix-xahar, 40 b'aktar minn 10 miljun download fix-xahar, u 282 b'aktar minn 1 miljun download fix-xahar. Meta wieħed iqis it-tagħbija tal-moduli tul katina ta' dipendenzi, il-kompromess ta' kontijiet mhux ta' fiduċja jista' jaffettwa sa 52% tal-moduli kollha fl-NPM.
Sors: opennet.ru