Обнаружена уязвимость, позволяющая запускать произвольный код на серверах Apple, PayPal, Microsoft и других крупных IT-компаний
Исследователь вопросов информационной безопасности Алекс Бирсан обнаружил уязвимость, с помощью которой он смог запустить код на серверах, принадлежащих крупнейшим IT-компаниям, включая Apple, Microsoft, PayPal и др. Уязвимость имеется на серверных системах более чем 30 компаний. К тому же, она оказалась на удивление простой.
Уязвимость основана на относительно простом приёме: она заменяет частные пакеты общедоступными. Когда компании создают программы, они часто используют открытый код, написанный другими людьми. Это позволяет не тратить время и ресурсы на решение задач, которые уже решены. Эти общедоступные программы можно найти в таких репозиториях, как npm для NodeJS, PyPi для Python и RubyGems для Ruby. Бирсан обнаружил, что эти хранилища могут быть использованы для проведения этой атаки, но она не ограничивается только этими тремя репозиториями.
В дополнение к этим общедоступным пакетам, компании часто создают свои собственные частные решения, которые они не загружают, а вместо этого распространяют среди своих собственных разработчиков. Именно в этой сфере смог найти уязвимость Алекс Бирсан. Он обнаружил, что если он может найти названия частных пакетов, используемых компаниями (задача, которая в большинстве случаев оказалась очень простой), он может загрузить свой собственный код в один из общедоступных репозиториев с тем же именем. После этого автоматизированные системы компаний вместо своего частного кода будут использовать его код. Они не только загрузили бы его пакет вместо правильного, но также запустили бы код внутри него.
Похоже, компании сошлись во мнении, что проблема очень серьезная. Алекс Бирсан сообщил, что большинство компаний выплатило максимальные суммы вознаграждений за эту информацию в рамках предлагаемых ими программ поиска ошибок. Чем серьёзнее ошибка, тем большую сумму выплачивают компании по условиям таких программ. И если большинство компаний согласились заплатить максимальную сумму, оговоренную условиями их программ, значит ошибка признана критической.
По словам Бирсана, большинство компаний, с которыми он связался по поводу данной уязвимости, смогли быстро внести исправления в работу своих систем. Microsoft также подготовила технический документ, в котором объясняется, как системные администраторы могут защитить свои компании от подобных атак.
Источник: The Verge