セキュリティ研究者は、ソフトウェアサプライチェーン攻撃を使用して、Apple、Microsoft、PayPalを含む35を超える主要企業の内部システムを侵害することができました( Bleeping Computer )。
セキュリティ研究者 アレックス・ビルサン Apple、Microsoft、PayPal、Shopify、Netflix、Yelp、Tesla、Uberなどの企業のシステムを攻撃するために、「依存関係の混乱」と呼ばれるいくつかのオープンソースエコシステムの独自の設計上の欠陥を利用することができました。
この攻撃では、マルウェアをPyPI、npm、RubyGemsなどのオープンソースリポジトリにアップロードし、それらをさまざまな企業の内部アプリケーションに自動的にダウンストリームで配布しました。被害者は、ソーシャルエンジニアリングやトロイの木馬を必要とせずに、悪意のあるパッケージを自動的に受け取りました。
Birsanは、オープンソースリポジトリで同じ名前を使用して偽造プロジェクトを作成することができました。各リポジトリには免責事項メッセージが含まれており、アプリケーションは開発者からのアクションを必要とせずに、パブリック依存関係パッケージを自動的にプルすることがわかりました。 PyPIパッケージの場合など、場合によっては、どこに配置されていても、バージョンの高いパッケージが優先されます。これにより、Birsanは複数の企業のソフトウェアサプライチェーンを攻撃することに成功しました。
彼のコンポーネントが企業ネットワークに正常に侵入したことを確認すると、Birsanは彼の調査結果を問題の会社に報告し、一部の人は彼にバグの報奨金を与えました。マイクロソフトは彼に最高のバグ報奨金40,000ドルを授与し、このセキュリティ問題に関するホワイトペーパーを発表しました。 BleepingComputer そのBirsanは、責任を持って問題を開示したことに対して、Apple SecurityBountyプログラムを介して報酬を受け取ります。 Birsanは、バグ報奨金プログラムと事前に承認された侵入テストの取り決めを通じて、現在13万ドル以上を稼いでいます。
攻撃の背後にある方法論の完全な説明は次のとおりです。 AlexBirsan'sで入手可能 中くらい ページ 。
タグ:サイバーセキュリティ、バグバウンティ
人気の投稿