Trio sigurnosnih propusta otkriven je u menadžeru zavisnosti CocoaPods za Swift i Objective-C Cocoa projekte koji bi se mogli iskoristiti za insceniranje napada na lanac nabave softvera, dovodeći dalje korisnike u ozbiljne rizike.
Ranjivosti omogućavaju “svakom zlonamjernom hakeru da zatraži vlasništvo nad hiljadama nepotraženih podova i ubaci zlonamjerni kod u mnoge od najpopularnijih iOS i macOS aplikacija”, rekli su istraživači EVA Information Security Reef Spektor i Eran Vaknin u izvještaju objavljenom danas.
Izraelska firma za sigurnost aplikacija rekla je da je CocoaPods od oktobra 2023. zakrpio tri problema. Takođe resetuje sve korisničke sesije u to vrijeme kao odgovor na otkrivanje podataka.
Jedna od ranjivosti je CVE-2024-38368 (CVSS rezultat: 9,3), koja omogućava napadaču da zloupotrebi proces ” Zahtijevaj svoje podove ” i preuzme kontrolu nad paketom, što im efektivno omogućava da mijenjaju izvorni kod i uvesti zlonamjerne promjene. Međutim, to je zahtijevalo da svi prethodni održavaoci budu uklonjeni iz projekta.
Korijeni problema sežu do 2014. godine, kada je migracija na Trunk server ostavila hiljade paketa sa nepoznatim (ili nepotraženim ) vlasnicima, dozvoljavajući napadaču da koristi javni API za preuzimanje podova i adrese e-pošte koja je bila dostupna u CocoaPods-u. izvorni kod (“unclaimed-pods@cocoapods.org”) da preuzme kontrolu.
Druga greška je još kritičnija (CVE-2024-38366, CVSS rezultat: 10,0) i koristi prednost nesigurnog toka rada za verifikaciju e-pošte za pokretanje proizvoljnog koda na Trunk serveru, koji bi se zatim mogao koristiti za manipulaciju ili zamjenu paketa.
U servisu je takođe identifikovan drugi problem u komponenti za verifikaciju adrese e-pošte (CVE-2024-38367, CVSS rezultat: 8,2) koji bi mogao da navede primaoca da klikne na naizgled benignu vezu za verifikaciju, kada, u stvarnosti, preusmjerava zahtjev na domenu pod kontrolom napadača kako bi se dobio pristup tokenima sesije programera.
Da stvar bude još gora, ovo se može nadograditi u napad preuzimanja naloga nultim klikom lažiranjem HTTP zaglavlja – tj. modificiranjem polja zaglavlja X-Forwarded-Host – i korištenjem prednosti pogrešno konfiguriranih sigurnosnih alata za e-poštu.
„Otkrili smo da je skoro svaki vlasnik kapsula registrovan sa svojom organizacijskom e-poštom na Trunk serveru, što ih čini ranjivim na našu ranjivost preuzimanja nultim klikom“, rekli su istraživači.
Ovo nije prvi put da je CocoaPods došao pod skener. U martu 2023., Checkmarx je otkrio da je napuštena poddomena povezana sa menadžer zavisnosti (“cdn2.cocoapods[.]org”) mogla biti oteta od strane protivnika preko GitHub stranica sa ciljem da ugosti njihov korisni teret.
Izvor:The Hacker News