研究人员发现了一个依赖性混淆漏洞,该漏洞影响名为Cordova App Harness的已归档 Apache 项目。
依赖混淆攻击的发生是由于包管理器在私有注册表之前检查公共存储库,从而允许威胁行为者将同名的恶意包发布到公共包存储库。
这会导致包管理器无意中从公共存储库而不是预期的私有存储库下载欺诈性包。如果成功,可能会产生严重后果,例如安装所有安装该软件包的下游客户。
云安全公司 Orca 于 2023 年 5 月对存储在云环境中的 npm 和 PyPI 包进行的分析显示,近 49% 的组织容易受到依赖性混淆攻击。
虽然 npm 和其他包管理器此后引入了修复程序来优先考虑私有版本,但应用程序安全公司 Legit Security表示,它发现 Cordova App Harness 项目引用了名为 cordova-harness-client 的内部依赖项,而没有相对文件路径。
自 2019 年 4 月 18 日起,Apache 软件基金会 (ASF)终止了该开源计划。
正如 Legit Security 所证明的那样,这为供应链攻击敞开了大门,通过上传具有更高版本号的同名恶意版本,从而导致 npm 从公共注册表中检索伪造版本。
该假包上传到npm后,下载量超过100次,表明该归档项目仍在使用中,可能给用户带来严重风险。
在假设的攻击场景中,攻击者可以劫持该库来提供恶意代码,这些代码可以在安装包后在目标主机上执行。
Apache 安全团队此后通过获取cordova-harness-client 包的所有权来解决该问题。值得注意的是,建议组织创建公共包作为占位符,以防止依赖混淆攻击。
安全研究员 Ofek Haviv 表示:“这一发现凸显了需要将第三方项目和依赖项视为软件开发工厂中潜在的薄弱环节,尤其是可能无法定期收到更新或安全补丁的存档开源项目。”
“尽管让它们保持原样似乎很诱人,但这些项目往往存在未引起关注且不太可能修复的漏洞。”
发表评论
您还未登录,请先登录。
登录