Исследователю в области кибербезопасности Алексу Бирсану удалось взломать внутренние системы 35 различных технологических компаний.
Суть проведенной экспертом атаки заключается в загрузке вредоносного программного обеспечения (ПО) в репозитории с открытым исходным кодом, в том числе PyPI, npm и RubyGems, в результате чего эксперту удалось проникнуть в приложения крупных компаний, которые использовали их исключительно в своей внутренней сети. Бирсану удалось проникнуть во внутренние системы таких крупных корпораций, как Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Uber и Tesla.
В отличие от традиционных хакерских атак, которые базируются на методиках социальной инженерии, кибератака на цепочку поставок, проведенная Алексом Бирсаном, является более сложной, потому что со стороны жертвы не требуется совершать никаких действий: все вредоносные пакеты она получает автоматически. Это обусловлено тем, что во время атаки используется уникальный конструктивный недостаток экосистем с открытым исходным кодом, который называется «путаницей зависимостей».
В результате проведенной работы по поиску уязвимостей компании выплатили специалисту Алексу Бирсану вознаграждения на общую сумму 130 тысяч долларов (54 миллиона тенге).
«Мне очень бы хотелось, чтобы каждая компания, которая была затронута в моем исследовании, предоставила разрешение на тестирование своих систем безопасности или через общедоступные программы Bug Bounty, или через частные соглашения», — отметил специалист.
Корпорация Microsoft за обнаружение уязвимости вознаградила Алекса Бирсана суммой в размере 40 тысяч долларов (17 миллионов тенге), выпустив при этом официальный документ, посвященный этой проблеме безопасности. Уязвимость получила идентификатор CVE-2021-24105 для продукта Azure Artifactory.
«Конечно, это серьезная проблема безопасности, но ее необходимо исправлять за счет перенастройки инструментов установки и рабочих процессов, а не путем исправления чего-либо в самих репозиториях пакетов. Мы уверены, что главной причиной возникновения этой проблемы является недостаток дизайна, а не ошибка в диспетчерах пакетов, которая может быть исправлена только путем перенастройки», — говорится в сообщении представителей компании Microsoft.
Ранее сообщалось, что «российские» хакеры взломали Министерство внутренней безопасности США.