นักวิจัยด้านความปลอดภัยสามารถเจาะระบบภายในของบริษัทใหญ่ๆ กว่า 35 แห่ง รวมทั้ง Apple, Microsoft และ PayPal โดยใช้ซอฟต์แวร์โจมตีห่วงโซ่อุปทาน (ผ่าน คอมพิวเตอร์กำลังหลับ ).
นักวิจัยด้านความปลอดภัย อเล็กซ์ บีร์ซาน สามารถใช้ประโยชน์จากข้อบกพร่องด้านการออกแบบที่ไม่เหมือนใครในระบบนิเวศโอเพนซอร์ซบางแห่งที่เรียกว่า 'ความสับสนในการพึ่งพาอาศัยกัน' เพื่อโจมตีระบบของบริษัทต่างๆ เช่น Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla และ Uber
การโจมตีเกี่ยวข้องกับการอัปโหลดมัลแวร์ไปยังที่เก็บโอเพนซอร์สรวมถึง PyPI, npm และ RubyGems ซึ่งจากนั้นจะกระจายดาวน์สตรีมโดยอัตโนมัติไปยังแอปพลิเคชันภายในของบริษัทต่างๆ เหยื่อจะได้รับแพ็คเกจที่เป็นอันตรายโดยอัตโนมัติ โดยไม่ต้องใช้วิศวกรรมสังคมหรือโทรจัน
Birsan สามารถสร้างโปรเจ็กต์ปลอมโดยใช้ชื่อเดียวกันบนที่เก็บโอเพนซอร์ซ โดยแต่ละอันมีข้อความปฏิเสธความรับผิดชอบ และพบว่าแอปพลิเคชันจะดึงแพ็คเกจการพึ่งพาสาธารณะโดยอัตโนมัติ โดยไม่ต้องดำเนินการใดๆ จากผู้พัฒนา ในบางกรณี เช่น กับแพ็คเกจ PyPI แพ็คเกจใดๆ ที่มีเวอร์ชันที่สูงกว่าจะได้รับการจัดลำดับความสำคัญไม่ว่าจะอยู่ที่ใด สิ่งนี้ทำให้ Birsan สามารถโจมตีห่วงโซ่อุปทานซอฟต์แวร์ของบริษัทต่างๆ ได้สำเร็จ
เมื่อตรวจสอบแล้วว่าส่วนประกอบของเขาแทรกซึมเครือข่ายองค์กรได้สำเร็จ Birsan ได้รายงานสิ่งที่เขาพบต่อบริษัทที่เป็นปัญหา และบางคนก็ตอบแทนเขาด้วยค่าหัวบั๊ก Microsoft มอบเงินรางวัลบั๊กสูงสุด 40,000 ดอลลาร์ให้เขาและเผยแพร่เอกสารเกี่ยวกับปัญหาด้านความปลอดภัยนี้ในขณะที่ Apple บอก หลับคอมพิวเตอร์ ว่า Birsan จะได้รับรางวัลผ่านโปรแกรม Apple Security Bounty สำหรับการเปิดเผยปัญหาอย่างมีความรับผิดชอบ ตอนนี้ Birsan มีรายได้มากกว่า $130,000 ผ่านโปรแกรมหาค่าหัวบั๊กและการเตรียมการทดสอบการเจาะระบบที่ได้รับการอนุมัติล่วงหน้า
คำอธิบายแบบเต็มของวิธีการเบื้องหลังการโจมตีคือ มีจำหน่ายที่ Alex Birsan's ปานกลาง หน้าหนังสือ .
Tags: ความปลอดภัยในโลกไซเบอร์ , เงินรางวัลบั๊ก
โพสต์ยอดนิยม