تمكن باحث أمني من اختراق الأنظمة الداخلية لأكثر من 35 شركة كبرى ، بما في ذلك Apple و Microsoft و PayPal ، باستخدام هجوم على سلسلة إمداد البرامج (عبر كمبيوتر نائم ).
باحث امني اليكس بيرسان كان قادرًا على استغلال عيب تصميم فريد في بعض النظم البيئية مفتوحة المصدر يسمى 'ارتباك التبعية' لمهاجمة أنظمة شركات مثل Apple و Microsoft و PayPal و Shopify و Netflix و Yelp و Tesla و Uber.
تضمن الهجوم تحميل برامج ضارة إلى مستودعات مفتوحة المصدر بما في ذلك PyPI و npm و RubyGems ، والتي تم توزيعها تلقائيًا بعد ذلك في التطبيقات الداخلية للشركات المختلفة. يتلقى الضحايا تلقائيًا الحزم الخبيثة ، دون الحاجة إلى هندسة اجتماعية أو أحصنة طروادة.
كان بيرسان قادرًا على إنشاء مشاريع مزيفة باستخدام نفس الأسماء في مستودعات مفتوحة المصدر ، كل منها يحتوي على رسالة إخلاء مسؤولية ، ووجد أن التطبيقات ستسحب تلقائيًا حزم التبعية العامة ، دون الحاجة إلى أي إجراء من المطور. في بعض الحالات ، كما هو الحال مع حزم PyPI ، سيتم إعطاء الأولوية لأي حزمة ذات إصدار أعلى بغض النظر عن مكان وجودها. مكن هذا بيرسان من مهاجمة سلسلة توريد البرمجيات لشركات متعددة بنجاح.
عند التحقق من أن مكونه قد تسلل بنجاح إلى شبكة الشركة ، أبلغ بيرسان النتائج التي توصل إليها إلى الشركة المعنية ، وكافأه البعض بمكافأة خطأ. منحته Microsoft أعلى مكافأة خطأ قدرها 40 ألف دولار وأصدرت ورقة بيضاء حول هذه المشكلة الأمنية ، بينما أخبرت شركة آبل الكمبيوتر أن بيرسان سيحصل على مكافأة عبر برنامج Apple Security Bounty لإفصاحه عن المشكلة بمسؤولية. كسب بيرسان الآن أكثر من 130 ألف دولار من خلال برامج مكافآت الأخطاء وترتيبات اختبار الاختراق المعتمدة مسبقًا.
شرح كامل للمنهجية وراء الهجوم متوفر في Alex Birsan's واسطة صفحة .
العلامات: الأمن السيبراني ، bug bounty
المشاركات الشعبية