'Rules as Code' memungkinkan komputer menerapkan hukum dan peraturan
Sciences

Peneliti meretas 35 perusahaan teknologi besar


Kredit: Pixabay / CC0 Domain Publik

Seorang peneliti ancaman Rumania merinci dalam sebuah laporan yang diterbitkan Rabu bagaimana dia membobol sistem TI milik beberapa perusahaan terbesar di dunia. Serangannya berhasil menargetkan Apple, Microsoft, Tesla, PayPal, Netflix, dan lebih dari 30 perusahaan lainnya.

Alex Birsan memberi tahu perusahaan sebelumnya bahwa dia akan menguji keamanan sistem mereka, tetapi tidak memberi mereka rincian sebelumnya.

Birsan menyelesaikan tugas dengan meluncurkan mode serangan yang relatif sederhana: Dia mengganti paket kode pribadi yang secara rutin diaktifkan oleh server dengan paket kode publik. Saat mencari paket kode, sistem otomatis yang digunakan oleh perusahaan memanfaatkan repositori publik. Jika modul Javascript, Ruby atau Python diperlukan untuk menjalankan fungsi tertentu, server perusahaan akan secara otomatis menukar modul publik dengan modul internal miliknya sendiri jika modul tersebut mendeteksi paket dengan nama identik yang diyakini sebagai versi yang lebih baru.

Eksploitasinya, kata Birsan kepada BleepingComputer, mengungkap “kerentanan atau cacat desain dalam alat pembuatan atau pemasangan otomatis [that] dapat menyebabkan ketergantungan publik disalahartikan sebagai dependensi internal dengan nama yang sama persis. ”

Birsan memanfaatkan kerentanan ini dengan menginjeksi kode ke dalam paket yang disimpan di repositori publik seperti GitHub. Dia menyebut penggandaan nama yang disengaja dan pertukaran file berikutnya sebagai ‘kebingungan ketergantungan’.

Dia pertama kali harus menentukan nama perusahaan yang digunakan untuk file kode sehingga dia dapat membuat file palsu dengan nama yang sama, tetapi dia menemukan bahwa tugas itu relatif mudah. Shopify, misalnya, secara otomatis menginstal file palsu dari Birsan yang dia tebak dengan benar adalah “Shopify-cloud”.

“Tingkat keberhasilannya sungguh mencengangkan,” kata Birsan dalam penilaian online atas eksploitasinya, Rabu.
“Kami dapat secara otomatis memindai jutaan domain milik perusahaan yang ditargetkan dan mengekstrak ratusan nama paket javascript tambahan yang belum diklaim di registri npm,” kata Birsan.

Penanaman semacam itu oleh aktor jahat dapat mendatangkan malapetaka di seluruh jaringan perusahaan, mengganggu operasi, mencuri data atau mencoba memeras uang.

Kode Birsan tidak berbahaya; dia hanya mengambil informasi dasar tentang setiap komputer yang terkena dampak kodenya termasuk nama pengguna, nama host, dan jalur saat ini dari setiap instalasi unik. Program tersebut memberi tahu Birsan ketika kodenya diaktifkan oleh perusahaan target.

“Bersama dengan IP eksternal, ini hanya data yang cukup untuk membantu tim keamanan mengidentifikasi sistem yang mungkin rentan berdasarkan laporan saya,” kata Birsan, “sambil menghindari pengujian saya yang salah untuk serangan yang sebenarnya.”

Sebagai imbalannya Birsan mengumpulkan uang tunai ‘bug bounty’ yang dibayarkan perusahaan kepada para peneliti yang mengungkap kerentanan. Total dari beberapa perusahaan yang membayarnya mencapai $ 130.000.

Ide Birsan muncul ketika seorang kolega, Justin Gardner, memeriksa file pengelola paket JavaScript internal dan bertanya-tanya apa yang akan terjadi jika file dengan nama yang sama ditempatkan di repositori publik. Mereka segera menemukan bahwa file mana pun yang memiliki nomor build terbaru akan disadap oleh server perusahaan.

Sebagian besar perusahaan yang terkena dampak dapat dengan cepat menambal sistem mereka setelah pemberitahuan pelanggaran.

Namun Birsan yakin bahwa kebingungan ketergantungan pada platform open-source tetap menjadi masalah.

“Secara khusus, saya percaya bahwa menemukan cara baru dan cerdas untuk membocorkan nama paket internal akan mengekspos sistem yang lebih rentan, dan melihat ke bahasa pemrograman alternatif dan repositori untuk ditargetkan akan mengungkapkan beberapa permukaan serangan tambahan untuk bug kebingungan ketergantungan,” katanya.


Microsoft mengatakan peretas melihat kode sumber, tidak mengubahnya


Informasi lebih lanjut:
medium.com/@alex.birsan/depend… nfusion-4a5d60fec610

© 2021 Science X Network

Kutipan: Peneliti meretas 35 perusahaan teknologi besar (2021, 11 Februari) diambil 11 Februari 2021 dari https://techxplore.com/news/2021-02-hacks-major-technology-firms.html

Dokumen ini memiliki hak cipta. Selain dari transaksi yang adil untuk tujuan studi atau penelitian pribadi, tidak ada bagian yang boleh direproduksi tanpa izin tertulis. Konten disediakan untuk tujuan informasi saja.


Halaman Ini Di Persembahkan Oleh : Hongkong Prize