Le chercheur en sécurité Alex Birsan a découvert une vulnérabilité qui lui permettait d’exécuter le code sur des serveurs appartenant à Apple, Microsoft, PayPal et plus de 30 autres sociétés (À travers Ordinateur endormi). L’exploitation est également d’une simplicité trompeuse, ce dont de nombreux grands développeurs de logiciels doivent savoir comment se protéger.
L’exploit tire parti d’une astuce relativement simple: remplacer les paquets privés par des paquets publics. Lorsque les entreprises créent des logiciels, elles utilisent souvent du code open source écrit par d’autres personnes, afin de ne pas consacrer du temps et des ressources à résoudre un problème qui a déjà été résolu. Par exemple, j’ai travaillé sur des sites Web qui devaient convertir des fichiers texte en pages Web en temps réel. Au lieu d’écrire du code pour le faire nous-mêmes, mon équipe a trouvé un programme qui l’a fait et l’a intégré sur notre site.
Ces logiciels accessibles au public peuvent être trouvés dans des référentiels tels que npm pour NodeJS, PyPi pour Python et RubyGems pour Ruby. Il est à noter que Pirsan a constaté que ces entrepôts peuvent être utilisés pour mener à bien cette attaque, mais cela ne se limite pas aux trois.
En plus de ces packages publics, les entreprises construisent souvent leurs propres packages, qu’elles ne téléchargent pas, mais distribuent à leurs développeurs. C’est là que Pirsan a trouvé la faille. Découvrez s’il peut trouver les noms des packages privés que les entreprises utilisent (une tâche qui s’avère très facile dans la plupart des cas), il peut télécharger son code dans un référentiel public du même nom, et les entreprises utiliseront des systèmes automatisés avec son code à la place. Non seulement ils téléchargeront son propre package au lieu du bon, mais ils exécuteront également le code qu’il contient.
Pour expliquer cela avec un exemple, imaginez que vous avez un document Word sur votre ordinateur, mais lorsque vous allez l’ouvrir, votre ordinateur dit: « Hé, il y a un autre document Word sur Internet avec le même nom. Je vais l’ouvrir au lieu. » Imaginez maintenant qu’un document Word puisse alors apporter automatiquement des modifications à votre ordinateur. Ce n’est pas une situation formidable.
Les entreprises semblent convenir que le problème est grave. Dans sa position sur la moyenne», Écrit Pearsan,« La majorité des récompenses pour fautes attribuées sont fixées au maximum autorisé en vertu de la politique de chaque programme, parfois même plus élevé. Pour ceux qui ne sont pas familiers, les récompenses pour fautes sont des récompenses en espèces que les entreprises versent aux personnes qui découvrent des erreurs graves. Plus l’erreur est grave, plus ils paieront.
Selon Pearsan, la plupart des entreprises que j’ai contactées au sujet de l’exploit ont pu rapidement patcher leurs systèmes afin qu’ils ne soient pas vulnérables. Microsoft a même Préparez un livre blanc Expliquer comment les administrateurs système peuvent protéger leurs entreprises contre ces types d’attaques, mais il est franchement surprenant qu’il ait fallu si longtemps à quelqu’un pour découvrir que ces énormes entreprises étaient vulnérables à ce type d’attaque. Heureusement, ce n’est pas le genre d’histoire qui finit par devoir mettre à jour tous les appareils de votre maison tout de suite, mais il semble que ce sera une longue semaine pour les administrateurs système qui doivent maintenant changer la façon dont leur entreprise utilise le code générique.