Manipulação de código aberto permite ataques a grandes empresas de tecnologia
Por Felipe Demartini | 19 de Fevereiro de 2021 às 19h30
Uma manipulação sofisticada em bibliotecas de código aberto pode ser a chave para permitir ataques a grandes companhias do mundo da tecnologia. Essa é a prova de conceito do pesquisador em segurança Alex Birsan, que por meio de um ataque coordenado a repositórios de software livre, foi capaz de abrir brechas em 35 empresas do setor, com direito a grandes nomes como Apple, Microsoft, Uber, PayPal, Netflix e mais.
- Microsoft corrige falha que afetava Defender há 12 anos
- Pandemia aumentou ataques cibernéticos a apps e softwares usados em aulas online
- Celulares é a categoria que mais sofreu tentativas de fraudes online em 2020
O ataque focado na cadeira de fornecimento, para usar o jargão técnico, se aproveita de falhas de verificação em sistemas de atualização automática e download de pacotes para servidores internos. De forma simplificada, caso um malware fosse ocultado como um destes elementos, ele poderia acabar indo parar nas estruturas das grandes companhias, sendo distribuído em suas aplicações e gerar vulnerabilidades que, na sequência, poderiam ser utilizadas por cibercriminosos.
Os testes usaram o PayPal como foco principal, de forma a entender de que maneira os pacotes internos e externos eram gerenciados. Basicamente, Birsan experimentou nomear um elemento de um repositório público como um dos itens criados de forma privada, nos servidores da empresa, descobrindo que, em casos desse tipo, o sistema sempre dará prioridade aos dados públicos, mesmo que isso envolva a substituição dos dados anteriormente presentes em plataformas restritas.
É uma falha que, no jargão técnico, é chamada de confusão de dependência e, muitas vezes, envolve não apenas o nome do arquivo, mas também números de versão. Usando uma conta com sua própria identidade e indicações de se tratar de uma pesquisa para fins de segurança, sem softwares maliciosos ou dados valiosos envolvidos nessa manipulação, o especialista foi capaz de obter sucesso nos testes contra as dezenas de companhias, e acredita que centenas mais podem estar vulneráveis ao mesmo tipo de exploração.
O pesquisador destaca que, ao contrário de outros métodos que também usam essa substituição de pacotes, esse é mais sofisticado por não envolver nenhum tipo de ação manual da vítima. Obter os nomes de pacotes internos pode não ser tão simples, é verdade, mas manifestos disponíveis no Github, outros repositórios ou sistemas de gerenciamento de conteúdo poderiam revelar tais identificações, possibilitando a inserção de malwares, de forma mais efetiva que um ataque de engenharia social, por exemplo.
Em seu estudo, Birsan também demonstra como os pacotes maliciosos poderiam ser usados para extração de dados internos. Pelas descobertas, chegou a receber mais de US$ 130 mil em recompensas pelos programas de caça a bugs de diferentes companhias, incluindo o maior valor já pago pela Microsoft em iniciativas desse tipo, US$ 40 mil. Após, decidiu liberar seus achados à toda comunidade, já que considera esta uma falha com amplo potencial ofensivo.
Para auxiliar na resolução da questão, o especialista liberou uma ferramenta que checa se os nomes de pacotes em repositórios internos coincidem com aqueles disponíveis publicamente, para que sejam modificados em prol de maior segurança. Além disso, configurações adicionais em ferramentas de instalação e verificação também podem ser implementadas para mitigar o risco.
Fonte: Bleeping Computer