ГлавнаябезопасностьMicrosoft: компании подвергаются риску новой техники атаки

Microsoft: компании подвергаются риску новой техники атаки

По словам одного предупреждение опубликовано Microsoft во вторник новый техника атака называется "путаница при зависимости«Или»атака замещения»(Путаница зависимостей), может использоваться для заражать процесс создания приложений в корпоративных средах.

Microsoft

Техника атаки основана на таких элементах, как менеджеры пакетов, общественности и частные склады упаковки и производственные процессы.

Сегодня разработчиков маленькие или большие компании используют менеджеры пакетов для загрузки и импорта библиотек, которые затем собираются с использованием инструменты для создания окончательного приложения.

Это приложение может быть предложено клиентам компании или может использоваться внутри компании в качестве инструмент для своих сотрудников.

Однако некоторые из этих приложений могут также содержать проприетарные или высокочувствительные код, в зависимости от их характера. Для этих приложений компании часто используют частные библиотеки, которые хранятся в частном (внутреннем) репозитории пакетов, размещенном в сети компании.

Когда разработчики компании создают приложения, они объединяют эти частные библиотеки с общедоступными библиотеками, загруженными с порталов общедоступных пакетов, таких как НПМ, PyPI, NuGet или другие.

Как обнаружили исследователи в области безопасности, существует новый метод атаки, называемый «путаница зависимостей», который атакует эти смешанные среды разработки приложений в крупных компаниях.

Οι исследователи показал, что если один атакующий узнавать имена частных библиотек, используемых в процессе создания приложений компании, может регистрировать эти имена в публичных репозиториях пакетов и выгружать одноименные публичные библиотеки, содержащие вредоносный код.

атака

Атака «путаницы зависимостей» происходит, когда разработчики создают свои приложения в корпоративной среде, а диспетчер пакетов отдает приоритет (вредоносной) библиотеке, размещенной в общедоступном репозитории, а не внутренней библиотеке с тем же именем.

Исследовательской группе удалось обнаружить это атака, в тех случаях, когда крупные технологические компании случайно просочились имена различных внутренних библиотек, а затем записали эти же библиотеки в репозитории пакетов, такие как npm, RubyGems и PyPI.

Используя этот метод, исследователи заявили, что успешно загрузили свой собственный код в приложения, используемые 35 крупными технологическими компаниями, такими как AppleMicrosoft, PayPal, Shopify, Netflix, Yelp, Uber и другие

Но помимо npm, RubyGems и PyPI уязвимы и другие менеджеры пакетов, в том числе JFrog, Maven Central и NuGet.

Хотя исследовательская группа заявила, что проинформировала все затронутые компании и репозитории пакетов, Microsoft, похоже, отнеслась к проблеме более серьезно.

После публикации результатов расследования группы безопасности во вторник компания также управляет диспетчером пакетов NuGet для разработчиков. . NET, выпустила предупреждение, в котором подробно описывается метод «замешательства при зависимости», который Microsoft называет «атакой замещения».

Вот некоторые из рекомендаций:

  • Сообщить о частном потоке, а не о нескольких
  • Защитите свои частные пакеты с помощью флажков в публичных репозиториях пакетов
  • Используйте функции проверки на стороне клиента, такие как закрепление версий и проверка целостности

Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением
spot_img

ЖИВЫЕ НОВОСТИ