Dependency Confusion: l’attacco alla Supply-Chain colpisce oltre 35 Aziende Top

Dependency-Confusion
Condividi:

In quello che è un nuovo attacco alla supply chain (cioè la catena che coinvolge diverse aziende in un unico processo, ad esempio fornitori, distributori, ecc…), il ricercatore di sicurezza Alex Birsan è riuscito a violare i sistemi interni di oltre 35 grandi aziende, tra cui Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla e Uber.

Dependency Confusion: come funziona

La tecnica, chiamata Dependency Confusion o attacco di sostituzione, sfrutta il fatto che un pezzo di software può includere componenti provenienti da una combinazione di fonti private e pubbliche giudicate (erroneamente) come sempre attendibili.

In poche parole: la fonte è autorevole, mi fido in automatico.

Questo “dipendere” da pacchetti esterni, che vengono recuperati da repository pubbliche (archivi pubblici sul web), possono rappresentare un’opportunità di attacco quando un hacker carica una versione più recente di un modulo privato nel feed pubblico della repository, facendo sì che un client scarichi automaticamente la versione “più recente” (anche se fasulla), senza richiedere ulteriori azione da parte dello sviluppatore.

Da errori commessi dagli sviluppatori sulle proprie macchine, a server di compilazione interni o in cloud mal configurati, a pipeline di sviluppo sistemicamente vulnerabili, una cosa era chiara: occupare nomi di pacchetti interni validi era un metodo quasi sicuro per entrare nelle reti di alcune delle più grandi aziende tecnologiche del mondo, ottenendo l’esecuzione di codice in modalità remota e possibilmente consentendo agli aggressori di aggiungere backdoor“, ha spiegato in un articolo il ricercatore di sicurezza Alex Birsan.

Essere hacker etico conviene

Un hacker etico è colui che individua delle vulnerabilità e le segnala a fin di bene. È questo che ha fatto Alex Birsan. Ed è stato premiato per questo: Birsan ha infatti ricevuto oltre 130.000 dollari per la segnalazione di questi bug.

Attacco alla supply chain: nella rete di Apple attraverso Shopify

Per eseguire l’attacco a Apple, Birsan ha iniziato raccogliendo nomi di pacchetti interni privati utilizzati dalle principali aziende su GitHub, post su vari forum Internet e file JavaScript, quindi ha caricato librerie malevole usando quegli stessi nomi per pacchetti come npm, PyPI e RubyGems.

Il sistema di compilazione di Shopify ha installato automaticamente un pacchetto denominato ‘shopify-cloud’ solo poche ore dopo che l’avevo caricato, quindi ho provato a eseguire il codice al suo interno“, ha osservato Birsan: ebbene, il codice è stato eseguito su più macchine all’interno della rete Apple, interessando progetti relativi al sistema di autenticazione ID Apple dell’azienda.

Così facendo ha potuto estrarre diverse informazioni sensibili, sia relativamente a Apple che ad altre aziende di livello mondiale.

Morale della favola? Attento alla supply chain!

Questo è un perfetto esempio di come non basti presidiare la cyber security della propria organizzazione, ma è importante scegliere i propri partner commerciali in base al loro posizionamento di sicurezza informatica. Potremo essere anche protetti come azienda, ma se i nostri fornitori o distributori saranno oggetto di attacco, sarà più facile raggiungere anche noi.

Di certo, è necessario disporre di sistemi ed esperti di cyber security che possano identificare prontamente un attacco alla supply chain, isolandolo prima che arrechi troppi danni alla nostra rete aziendale.

Interessato a monitorare la sicurezza della tua supply chain? Contattaci:

    Il tuo nome*

    La tua email*

    Il tuo telefono*

    La tua città

    Il tuo messaggio

    * campo obbligatorio

    Condividi:

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.