Киберпреступник может надолго закрепляться в системе и загружать бэкдор при каждом обновлении пакета.

Исследователи раскрыли подробности об исправленной уязвимости в Packagist, репозитории пакетов PHP, которая могла быть использована для проведения атак на цепочку поставок ПО. Исследователь SonarSource Томас Шошфуан заявил , что уязвимость позволяет получить контроль над Packagist.

Packagist используется диспетчером пакетов PHP Composer для определения и загрузки программных зависимостей, которые разработчики включают в свои проекты.

Уязвимость внедрения команд отслеживается как CVE-2022-24828 (оценка CVSS: 8,8) и связана с другой похожей ошибкой Composer ( CVE-2021-29472 ), которая была обнаружена в апреле 2021 года и предполагает выполнение произвольного кода. SonarSource наглядно продемонстрировала эксплуатацию CVE-2022-24828 на видео .

Согласно апрельскому отчету Packagist, злоумышленник, контролирующий репозиторий Git или Mercurial, может использовать специально созданные имена веток для выполнения команд на машине, на которой выполняется обновление Composer.

При использовании ошибки запросы на обновление пакета могли быть перехвачены для распространения вредоносных зависимостей путем выполнения произвольных команд на внутреннем сервере, на котором запущен официальный экземпляр Packagist.

Компрометация бэкэнд-сервисов позволяет киберпреступнику заставить пользователя загружать программные зависимости с бэкдором каждый раз, когда жертва будет выполнять новую установку или обновление пакета Composer.

На сегодняшний день нет никаких доказательств того, что уязвимость использовалась. Исправления были развернуты в версиях Composer 1.10.26, 2.2.12 и 2.3.5 после того, как SonarSource сообщил об ошибке 7 апреля 2022 года.

Открытый исходный код становится все более привлекательной целью для злоумышленников из-за легкости, с которой они могут быть использованы в качестве оружия против цепочки поставок программного обеспечения.

Томас Шошфуан сказал, что хотя цепочки поставок могут принимать разные формы, одна из них наиболее эффективна: получив доступ к серверам, распространяющим сторонние программные компоненты, злоумышленники могут изменить их, чтобы закрепиться в системах своих целей.

Источник: securitylab