Troba una manera d’executar codi als sistemes d’Apple, PayPal i Microsoft.
- Administració
- Notícies
- Troba una manera d’executar codi als sistemes d’Apple, PayPal i Microsoft.
Troba una manera d’executar codi als sistemes d’Apple, PayPal i Microsoft.
Dijous, Febrer 11, 2021
L'atac és increïblement senzill, però eficaçment demoníac.
L'investigador en ciberseguretat Alex Birsan ha trobat una vulnerabilitat de seguretat que permet executar codi als servidors d'Apple, Microsoft, PayPal i de 30 empreses més. L'exploit és molt simple i les plataformes de software hauran d'esbrinar com protegir-se.
L'exploit aprofita un truc relativament senzill: substituir els paquets privats per altres de públics. Quan les empreses desenvolupen programes, sovint utilitzen codi obert escrit per altres persones, de manera que no dediquen temps i recursos a resoldre un problema que ja s'ha resolt. Per exemple, llocs web que han de convertir fitxers de text a pàgines web en temps real. En lloc d'escriure codi per fer-ho ells mateixos, van trobar un programa que ho feia i el van incorporar al seu web.
Aquests programes disponibles públicament es poden trobar a repositoris com npm per a NodeJS, PyPi per a Python i RubyGems per a Ruby. Val a dir que Alex Birsan va trobar que aquests dipòsits es podrien utilitzar per dur a terme aquest tipus d'atac, però no es limita només a tres.
A més d'aquests paquets públics, les empreses solen crear-ne de privats, que no carreguen, sinó que les distribueixen entre els seus propis desenvolupadors. Aquí va ser on Alex Birsan va trobar l'exploit. Va descobrir que podia trobar els noms dels paquets privats utilitzats per les empreses (una tasca que va resultar ser molt fàcil en la majoria dels casos), podia penjar el seu propi codi a un dels dipòsits públics amb el mateix nom que el de les empreses. Els sistemes automatitzats utilitzarien el seu codi maliciós per actualitzar-se. No només descarreguen el seu paquet en lloc de l'original, sinó que també executen el nou codi maliciós infectant el sistema.
Per explicar-ho amb un exemple; imagineu-vos que teniu un document de Word a l'ordinador, però quan l'obriu, el vostre ordinador diu: "Ei, hi ha un altre document de Word a Internet amb el mateix nom. En comptes de fer-ne un de nou, obriré aquest altre". Ara imagineu que el document de Word faci canvis automàticament al vostre equip.
Segons Alex Birsan, la majoria de les empreses amb les quals va contactar amb relació a aquest exploit van ser capaces de corregir ràpidament els seus sistemes perquè deixessin de ser vulnerables. Microsoft fins i tot ha elaborat un llibre blanc on s'explica com els administradors de sistemes poden protegir les seves empreses d'aquest tipus d'atacs, però és francament sorprenent que algú hagi trigat tant temps a descobrir que aquestes multinacionals eren vulnerables a aquest tipus d'atacs. Afortunadament, aquest no és el tipus d'història que acaba amb l'actualització immediata de tots els dispositius de casa vostra, però sembla que passarà una setmana llarga per als administradors de sistemes que ara han de canviar la manera com la seva empresa utilitza el codi públic.