Bir güvenlik araştırmacısı, bir yazılım tedarik zinciri saldırısı kullanarak Apple, Microsoft ve PayPal da dahil olmak üzere 35'ten fazla büyük şirketin iç sistemlerini ihlal edebildi. Bipleyen Bilgisayar ).
Güvenlik araştırmacısı Alex Birsan Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla ve Uber gibi şirketlerin sistemlerine saldırmak için 'bağımlılık karışıklığı' adı verilen bazı açık kaynaklı ekosistemlerde benzersiz bir tasarım kusurundan yararlanmayı başardı.
Saldırı, PyPI, npm ve RubyGems dahil olmak üzere açık kaynak depolarına kötü amaçlı yazılım yüklemeyi içeriyordu ve bunlar daha sonra çeşitli şirketlerin dahili uygulamalarına otomatik olarak aşağı yönde dağıtıldı. Kurbanlar, herhangi bir sosyal mühendislik veya truva atı gerektirmeden kötü amaçlı paketleri otomatik olarak aldı.
Birsan, her biri bir sorumluluk reddi mesajı içeren açık kaynak depolarında aynı adları kullanarak sahte projeler oluşturmayı başardı ve uygulamaların, geliştiricinin herhangi bir müdahalesine gerek kalmadan, kamuya açık bağımlılık paketlerini otomatik olarak çekeceğini keşfetti. PyPI paketleri gibi bazı durumlarda, nerede bulunursa bulunsun daha yüksek sürüme sahip herhangi bir pakete öncelik verilecektir. Bu, Birsan'ın birden fazla şirketin yazılım tedarik zincirine başarılı bir şekilde saldırmasını sağladı.
Bileşeninin şirket ağına başarılı bir şekilde sızdığını doğrulayan Birsan, bulgularını söz konusu şirkete bildirdi ve bazıları onu hata ödülü ile ödüllendirdi. Apple'ın söylediğine göre Microsoft, ona en yüksek hata ödülü olan 40.000 $'ı verdi ve bu güvenlik sorunuyla ilgili bir teknik inceleme yayınladı. BleeBilgisayar Sorunu sorumlu bir şekilde açıkladığı için Birsan'ın Apple Security Bounty programı aracılığıyla bir ödül alacağını bildirdi. Birsan, bug bounty programları ve önceden onaylanmış sızma testi düzenlemeleri aracılığıyla şu anda 130.000 doların üzerinde kazanç elde etti.
Saldırının arkasındaki metodolojinin tam açıklaması şu şekildedir: Alex Birsan'da mevcut Orta sayfa .
Etiketler: siber güvenlik , hata ödülü
Popüler Mesajlar