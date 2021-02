La semaine dernière, un chercheur a démontré une nouvelle attaque de la chaîne d’approvisionnement qui exécutait du code contrefait sur des réseaux appartenant à certaines des plus grandes entreprises de la planète, Apple, Microsoft et Tesla inclus. Aujourd’hui, des collègues chercheurs parsèment Internet avec des packages de copie, avec plus de 150 d’entre eux détectés à ce jour.

La technique a été dévoilée mardi dernier par le chercheur en sécurité Alex Birsan. Sa soi-disant confusion de dépendance ou attaque de confusion d’espace de noms commence par placer du code malveillant dans un référentiel public officiel tel que NPM, PyPI ou RubyGems. En donnant aux soumissions le même nom de package que les dépendances utilisées par des sociétés telles qu’Apple, Microsoft, Tesla et 33 autres sociétés, Birsan a pu amener ces sociétés à télécharger et installer automatiquement le code contrefait.

Pwnage automatique

Les dépendances sont des bibliothèques de code public ou des packages que les développeurs utilisent pour ajouter des types courants de fonctionnalités aux logiciels qu’ils écrivent. En tirant parti du travail de milliers de leurs pairs open source, les développeurs sont épargnés par les tracas et les dépenses liés à la création du code eux-mêmes. Le code du développeur télécharge et incorpore automatiquement la dépendance, ou toute mise à jour de celle-ci, soit à partir de l’ordinateur local du développeur, soit à partir d’un référentiel public.

Birsan a parcouru les forums Internet, le code JavaScript, les packages internes publiés accidentellement et d’autres sources pour trouver les noms des dépendances de code utilisées dans les logiciels de 35 entreprises. Il a ensuite téléchargé son propre code sur NPM, PyPI ou Ruby Gems en utilisant les mêmes noms de dépendance. En d’autres termes, le chercheur s’accroupissait sur le nom authentique du paquet appartenant aux entreprises. Le chercheur a fini par recevoir 130 000 $ en primes de bogues.

En donnant des numéros de version des packages plus élevés que les authentiques, les entreprises ciblées ont automatiquement téléchargé et exécuté les packages contrefaits de Birsan.

«Le taux de réussite était tout simplement incroyable», a écrit Birsan. Il ajouta:

Qu’il s’agisse d’erreurs ponctuelles commises par les développeurs sur leurs propres machines, de serveurs de build internes ou cloud mal configurés, de pipelines de développement systémiquement vulnérables, une chose était claire: squatter des noms de packages internes valides était une méthode presque infaillible pour entrer dans le réseaux de certaines des plus grandes entreprises de technologie, obtenant une exécution de code à distance et permettant éventuellement aux attaquants d’ajouter des portes dérobées pendant les builds.

Dans les deux jours suivant la publication de ses résultats par Birsan, a déclaré vendredi dernier la société de sécurité Sonotype, d’autres développeurs ou chercheurs avaient mené des attaques de copie et mis 150 paquets de noms similaires dans NPM.

Comment ça fonctionne

Les gestionnaires de packages acceptent généralement les dépendances répertoriées comme des noms et tentent d’analyser les intentions des développeurs. Les gestionnaires recherchent les dépendances à la fois sur l’ordinateur local où le projet est stocké et sur le répertoire accessible sur Internet appartenant au gestionnaire de packages.

«Le problème de confusion des dépendances est une faille de conception inhérente aux outils d’installation natifs et aux flux de travail DevOps qui tirent les dépendances dans votre chaîne d’approvisionnement logicielle», ont écrit les chercheurs de Sonotype dans un précédent article sur l’attaque de Birsan. «Dans ce contexte, la confusion des dépendances fait référence à l’incapacité de votre environnement de développement à faire la distinction entre un package présent privé, créé en interne dans votre version de logiciel, et un package du même nom disponible dans un référentiel logiciel public.»

Les chercheurs de Sonotype ont ensuite expliqué la technique de cette façon:

Par exemple, supposons que votre application utilise un composant PyPI interne, créé de manière privée, appelé foobar (version 1) comme dépendance. Plus tard, si un composant non lié du même nom mais avec un numéro de version supérieur foobar (version 9999) est publié dans le référentiel public des téléchargements PyPI, la configuration par défaut des environnements de développement PyPI exige que le foobar avec la version la plus élevée soit téléchargé en tant que dépendance. Dans ce cas, cela signifierait que le paquet foobar contrefait de l’attaquant avec un numéro de version plus élevé ferait son chemin silencieusement et automatiquement dans votre version de logiciel.

Les attaques dites de typo-squattage existent depuis des années. Ils téléchargent du code dans des référentiels publics et utilisent des noms similaires aux noms de packages légitimes dans l’espoir qu’un développeur fera une faute de frappe ou cliquera sur un lien malveillant qui provoquera le téléchargement du faux code. L’avantage de la technique de confusion de dépendance de Birsan est qu’elle ne repose pas sur l’erreur humaine pour fonctionner.

Bien que les entreprises concernées n’aient pas repéré la contrefaçon, Sonotype l’a fait. Après avoir vérifié auprès de Birsan, la société a appris que les fausses dépendances faisaient partie d’une expérience bénigne.

Preuve de concept

Birsan a constaté que les 35 entreprises concernées utilisaient des dépendances stockées localement qui n’étaient pas disponibles dans l’annuaire public. Lorsqu’il a téléchargé son propre code malveillant de preuve de concept dans un référentiel public en utilisant le même nom que la dépendance légitime et un numéro de version plus élevé, les logiciels de l’entreprise les ont automatiquement installés et exécutés.

Pour ne pas aller à l’encontre des politiques de rapport de vulnérabilité des entreprises, le code de Birsan a limité ses activités à l’envoi du nom d’utilisateur, du nom d’hôte et du correctif actuel de chaque installation unique au chercheur. Il avait également la permission de tester la sécurité des 35 entreprises, soit par le biais de programmes publics de bug bounty ou d’accords privés.

Pour garantir que les défenses de sécurité n’empêchent pas les informations de quitter le réseau de l’entreprise cible, le code PoC de Birsan a encodé les données en hexadécimal et les a envoyées dans une requête DNS. L’échec des entreprises à bloquer le trafic survient au moins quatre ans après que l’utilisation de l’exfiltration DNS par des logiciels malveillants a été portée à l’attention des chercheurs.

La société de commerce électronique canadienne Shopify a automatiquement installé un Ruby Gem nommé shopify-cloud quelques heures après que Birsan l’a rendu disponible dans le référentiel Ruby Gems. Pendant ce temps, plusieurs machines à l’intérieur du réseau d’Apple ont exécuté le code Birsan téléchargé sur NPM. Birsan a déclaré que les projets Apple concernés semblaient être liés à Apple ID, le système d’authentification de l’entreprise. Shopify et Apple ont tous deux attribué à Birsan des primes de 30 000 $ chacun.

Sonotype propose ici une liste d’étapes que les développeurs peuvent suivre pour éviter les attaques de confusion de dépendance. La principale défense consiste pour les référentiels à appliquer la vérification obligatoire de l’espace de noms et de la portée. Une technique de vérification est l’utilisation inversée du nom de domaine complet, qui permet aux propriétaires légitimes d’une marque ou d’un espace de noms de publier des composants dans cet espace de noms tout en empêchant les adversaires d’entrer.