Un chercheur en sécurité a réussi à violer les systèmes internes de plus de 35 grandes entreprises, dont Apple, Microsoft et PayPal, en utilisant une attaque de chaîne d'approvisionnement logicielle (via Ordinateur qui bipe ).
Chercheur en sécurité Alex Birsan a été en mesure d'exploiter un défaut de conception unique dans certains écosystèmes open source appelé « confusion de dépendance » pour attaquer les systèmes d'entreprises telles qu'Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla et Uber.
L'attaque impliquait le téléchargement de logiciels malveillants vers des référentiels open source, notamment PyPI, npm et RubyGems, qui étaient ensuite automatiquement distribués en aval dans les applications internes des différentes entreprises. Les victimes ont automatiquement reçu les packages malveillants, sans ingénierie sociale ni chevaux de Troie requis.
Birsan a pu créer des projets contrefaits utilisant les mêmes noms sur des référentiels open source, chacun contenant un message de non-responsabilité, et a découvert que les applications extrayaient automatiquement les packages de dépendances publics, sans aucune action du développeur. Dans certains cas, comme avec les packages PyPI, tout package avec une version supérieure serait prioritaire quel que soit l'endroit où il se trouve. Cela a permis à Birsan d'attaquer avec succès la chaîne d'approvisionnement en logiciels de plusieurs entreprises.
Après avoir vérifié que son composant avait réussi à infiltrer le réseau de l'entreprise, Birsan a signalé ses découvertes à l'entreprise en question, et certains l'ont récompensé avec une prime de bogue. Microsoft lui a attribué le montant le plus élevé de sa prime de bogue de 40 000 $ et a publié un livre blanc sur ce problème de sécurité, tandis qu'Apple a déclaré BipOrdinateur que Birsan recevra une récompense via le programme Apple Security Bounty pour avoir divulgué le problème de manière responsable. Birsan a maintenant gagné plus de 130 000 $ grâce à des programmes de primes aux bogues et à des accords de test de pénétration pré-approuvés.
Une explication complète de la méthodologie derrière l'attaque est disponible chez Alex Birsan Moyen page .
Tags: cybersécurité , bug bounty
Articles Populaires