AnasayfagüvenlikMicrosoft: İşletmeler yeni bir saldırı tekniği riskiyle karşı karşıya

Microsoft: İşletmeler yeni bir saldırı tekniği riskiyle karşı karşıya

Birine göre uyarı veren kuruluş Microsoft Salı günü yeni bir tane teknik saldırı "bağımlılık karmaşası"the"ikame saldırısı»(Bağımlılık karmaşası), bulaştırmak kurumsal ortamlarda uygulama oluşturma süreci.

Microsoft

Saldırı tekniği şu unsurlara dayanmaktadır: paket yöneticileri, kamu και özel paket depolar και üretim süreçleri.

Bugün geliştiriciler küçük veya büyük şirketler, daha sonra bir araya getirilen kitaplıkları indirmek ve içe aktarmak için paket yöneticilerini kullanır. araçları son bir uygulama oluşturmak için.

Bu uygulama firmanın müşterilerine sunulabileceği gibi şirket bünyesinde de kullanılabilir. araç çalışanları için.

Bununla birlikte, bu uygulamalardan bazıları tescilli veya son derece hassas koddoğalarına bağlı olarak. Bu uygulamalar için, şirketler genellikle şirket ağında barındırılan özel (dahili) bir paket havuzunda depolanan özel kitaplıkları kullanır.

Şirket geliştiricileri uygulamalar oluşturduklarında, bu özel kitaplıkları, genel paket portallarından indirilen halk kitaplıkları ile birleştirirler. npm, PyPI, Nuget veya diğerleri.

Güvenlik araştırmacılarının keşfettiği gibi, büyük şirketlerde bu karma uygulama geliştirme ortamlarına saldıran "bağımlılık karmaşası" adı verilen yeni bir saldırı tekniği var.

Οι araştırmacılar gösterdi ki eğer biri saldırgan Bir şirket uygulamaları oluşturma sürecinde kullanılan özel kitaplıkların adlarını öğrenebilir, bu adları ortak paket depolarına kaydedebilir ve kötü amaçlı kod içeren aynı addaki halk kitaplıklarını yükleyebilir.

saldırı

"Bağımlılık karmaşası" saldırısı, geliştiriciler uygulamalarını kurumsal ortamlarda oluşturduklarında ve paket yöneticisi aynı adlı dahili kitaplık yerine genel depoda barındırılan (kötü amaçlı) kitaplığa öncelik verdiğinde ortaya çıkar.

Araştırma ekibi bunu keşfetmeyi başardı saldırı, büyük teknoloji şirketlerinin yanlışlıkla çeşitli dahili kitaplıkların adlarını sızdırdığı ve ardından bu aynı kitaplıkları npm, RubyGems ve PyPI gibi paket depolarına kaydettiği durumlarda.

Bu yöntemi kullanarak araştırmacılar, kendi kodlarını, 35 büyük teknoloji şirketi tarafından kullanılan uygulamalara başarıyla yüklediklerini söylediler. Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Uber ve diğerleri

Ancak npm, RubyGems ve PyPI'nin yanı sıra, diğer paket yöneticileri de savunmasızdır. JFrog, Maven Merkez και Nuget.

Araştırma ekibi, etkilenen tüm şirketleri ve paket depolarını bilgilendirdiğini söylese de, Microsoft sorunu daha ciddiye almış görünüyor.

Güvenlik ekibinin incelemelerinin Salı günü yayınlanmasının ardından şirket, geliştiriciler için NuGet paket yöneticisini de yönetiyor. . NET, Microsoft'un "ikame saldırısı" olarak adlandırdığı "bağımlılık karmaşası" tekniğini detaylandıran bir uyarı yayınladı.

Önerilerden bazıları:

  • Birden fazla değil, özel bir akışı bildirin
  • Genel paket depolarındaki onay kutularını kullanarak özel paketlerinizi koruyun
  • Sürüm sabitleme ve bütünlük doğrulaması gibi istemci tarafı doğrulama özelliklerini kullanın

Mia yokhttps://www.secnews.gr
Kendin olmak, seni sürekli değiştirmek isteyen bir dünyada, en büyük başarın.
spot_img

CANLI HABERLER