Falha grave permite invadir Microsoft, Apple, Tesla e mais 30 empresas
Especialista em segurança descobriu problema que afeta sistemas de mais de 35 empresas, como Microsoft, Apple e Tesla
Especialista em segurança descobriu problema que afeta sistemas de mais de 35 empresas, como Microsoft, Apple e Tesla
A terça-feira (9) foi um dia de Patch Tuesday, quando a Microsoft (e outras companhias) liberam importantes atualizações de segurança. O último pacote corrige 56 vulnerabilidades em softwares da empresa. No meio delas está uma falha que também foi encontrada em sistemas de companhias como Apple, Netflix e Tesla.
O problema em questão foi identificado por um pesquisador chamado Alex Birsan, que o batizou de “confusão de dependência”. Ele explica que desenvolvedores (e profissionais de TI em geral, presumivelmente) estão acostumados a instalar dependências para seus projetos a partir de comandos simples, como:
pip install package_name
Quando executamos instruções como essa, confiamos cegamente que os pacotes baixados são legítimos e seguros. O problema é que, em muitos casos, os pacotes estão disponíveis em repositórios públicos, que podem receber conjuntos de códigos de qualquer pessoa.
Entre esses repositórios estão o npm (para Node), o PyPi (para Python) e o RubyGems (para Ruby). Birsan ressalta que nenhum repositório público consegue garantir que os pacotes disponibilizados neles estão livres de código malicioso.
Sob determinadas circunstâncias, invasores podem batizar códigos duvidosos com nomes parecidos com os de pacotes populares ou, em casos extremos, explorar técnicas que comprometem códigos legítimos, por exemplo.
Em um experimento realizado no ano passado, Birsan acessou um código usado internamente pelo PayPal que chamava pacotes de repositórios públicos e privados. Com o seu trabalho, ele descobriu que alguns pacotes requisitados no npm não estavam disponíveis nesse repositório, mas em servidores internos.
Lembre-se, o npm é público. Como base nisso, o pesquisador se perguntou: se ele enviasse para esse repositório pacotes “maliciosos” com os mesmos nomes das dependências públicas faltantes no projeto do PayPal, eles seriam acionados?
Ele constatou que sim, pois, por padrão, o pacote público tem prioridade: o pacote armazenado em um servidor interno só é requisitado se não for encontrado no externo. Da mesma forma, ele descobriu que o problema também existia em projetos de mais de 30 empresas, entre elas, Apple, Microsoft, Netflix, Tesla e Uber.
Alex Birsan notificou as empresas afetadas sobre o problema. Esse foi um trabalho colaborativo, não uma extorsão: os códigos usados por ele não tinham nada de malicioso, apenas serviam para comprovar a vulnerabilidade.
Desde então, o pesquisador vem sendo recompensado por seu trabalho. A Apple, por exemplo, pagou US$ 30 mil a ele. Por sua vez, a Microsoft desembolsou o maior valor (até agora): US$ 40 mil. No caso dela, o problema colocava em risco projetos baseados no serviço de repositórios Azure Artifacts. Como informado no início do texto, a falha foi corrigida.
Ao todo, Birsan já faturou mais de US$ 130 mil dólares com a descoberta.
Com informações: Ars Technica.
{{ excerpt | truncatewords: 55 }}
{% endif %}