Kamis, 17 Maret 2022

Beberapa Kelemahan Keamanan Ditemukan di Pengelola Paket Perangkat Lunak Populer

 


Beberapa kerentanan keamanan telah diungkapkan di manajer paket populer yang, jika berpotensi dieksploitasi, dapat disalahgunakan untuk menjalankan kode arbitrer dan mengakses informasi sensitif, termasuk kode sumber dan token akses, dari mesin yang disusupi.

Namun, perlu dicatat bahwa kelemahan tersebut mengharuskan pengembang yang ditargetkan untuk menangani paket berbahaya bersama dengan salah satu pengelola paket yang terpengaruh.

"Ini berarti bahwa serangan tidak dapat diluncurkan secara langsung terhadap mesin pengembang dari jarak jauh dan mengharuskan pengembang ditipu untuk memuat file yang cacat," kata peneliti SonarSource, Paul Gerste . "Tetapi bisakah Anda selalu mengetahui dan mempercayai pemilik semua paket yang Anda gunakan dari internet atau repositori internal perusahaan?"

Manajer paket mengacu pada sistem atau seperangkat alat yang digunakan untuk mengotomatisasi pemasangan, peningkatan, konfigurasi dependensi pihak ketiga yang diperlukan untuk mengembangkan aplikasi.

Meskipun ada risiko keamanan yang melekat dengan perpustakaan nakal membuat jalan mereka ke repositori paket - mengharuskan dependensi diteliti dengan benar untuk melindungi terhadap serangan kesalahan ketik dan kebingungan dependensi - "tindakan mengelola dependensi biasanya tidak dilihat sebagai operasi yang berpotensi berisiko."

Tetapi masalah yang baru ditemukan di berbagai manajer paket menyoroti bahwa mereka dapat dipersenjatai oleh penyerang untuk mengelabui korban agar mengeksekusi kode berbahaya. Cacat telah diidentifikasi dalam manajer paket berikut -

Komposer 1.x < 1.10.23 dan 2.x < 2.1.9
Paket < 2.2.33
Bower < 1.8.13
Puisi < 1.1.9
Benang < 1.22.13
pnpm < 6.15.1
Pip (tidak ada perbaikan), dan
Pipenv (tidak ada perbaikan)

 

Salah satu kelemahan utama adalah cacat injeksi perintah dalam perintah browse Composer yang dapat disalahgunakan untuk mencapai eksekusi kode arbitrer dengan memasukkan URL ke paket berbahaya yang sudah diterbitkan.

Jika paket memanfaatkan teknik typosquatting atau kebingungan ketergantungan, itu berpotensi menghasilkan skenario di mana menjalankan perintah browse untuk perpustakaan dapat mengarah pada pengambilan payload tahap berikutnya yang kemudian dapat digunakan untuk meluncurkan serangan lebih lanjut.

Injeksi argumen tambahan dan kerentanan jalur pencarian tidak tepercaya yang ditemukan di Bundler, Poetry, Yarn, Composer, Pip, dan Pipenv berarti bahwa aktor yang buruk dapat memperoleh eksekusi kode melalui git yang dapat dieksekusi malware atau file yang dikendalikan penyerang seperti Gemfile yang digunakan untuk menentukan dependensi untuk program Ruby.

Setelah pengungkapan yang bertanggung jawab pada 9 September 2021, perbaikan telah dirilis untuk mengatasi masalah di Composer, Bundler, Bower, Poetry, Yarn, dan Pnpm. Tetapi Composer, Pip, dan Pipenv, ketiganya dipengaruhi oleh cacat jalur pencarian yang tidak tepercaya, telah memilih untuk tidak mengatasi bug tersebut.

"Pengembang adalah target yang menarik bagi penjahat dunia maya karena mereka memiliki akses ke aset kekayaan intelektual inti perusahaan: kode sumber," kata Gerste. "Mengompromi mereka memungkinkan penyerang untuk melakukan spionase atau untuk menanamkan kode berbahaya ke dalam produk perusahaan. Ini bahkan dapat digunakan untuk melakukan serangan rantai pasokan."


source: thehackernews







1 $type={blogger}: