今天报告的 CocoaPods 漏洞可能允许恶意行为者接管数千个无人认领的 pod,并将恶意代码插入许多最流行的iOS和 MacOS 应用程序中,从而可能影响“几乎所有 Apple 设备”。
EVA 信息安全研究人员发现,开源 CocoaPods 依赖管理器中的三个漏洞存在于 Meta(Facebook、Whatsapp)、苹果(Safari、AppleTV、Xcode)和微软(Teams)提供的应用程序中;以及TikTok、Snapchat、亚马逊、LinkedIn、Netflix、Okta、雅虎、Zynga 等中。
这些漏洞已被修补,但研究人员仍然发现 685 个 Pod“与孤立 Pod 有明确的依赖关系;毫无疑问,专有代码库中还有数百或数千个这样的 Pod”。
这一普遍问题进一步证明了软件供应链的脆弱性。研究人员写道,他们经常发现,他们审查的客户端代码中有 70-80%“是由开源库、软件包或框架组成的”。
CocoaPods 漏洞
新发现的漏洞(其中一个漏洞 (CVE-2024-38366) 获得了 10 分(满分 10 分))实际上源于 2014 年 5 月 CocoaPods 迁移到新的“Trunk”服务器时,当时留下了 1,866 个所有者从未回收的孤立 pod。
另外两个 CocoaPods 漏洞(CVE-2024-38368 和 CVE-2024-38367)也源于此次迁移。
对于 CVE-2024-38368,研究人员表示,在分析“Trunk”服务器的源代码时,他们注意到所有孤立 Pod 都与默认的 CocoaPods 所有者相关联,并且为该默认所有者创建的电子邮件为unclaimed-pods@cocoapods.org 。他们还注意到,用于声明 Pod 的公共 API 端点仍然可用,并且该 API“允许任何人声明孤立 Pod,而无需任何所有权验证过程”。
Reef Spektor 和 Eran Vaknin 写道:“通过向公开可用的 API 发出简单的 curl 请求,并提供未认领的目标 pod 名称,潜在的攻击者就大有可为,他们可以将部分或全部这些孤立 pod 占为己有。”
一旦接管了 Pod,攻击者就能够操纵源代码或将恶意内容插入 Pod,这“将继续感染许多下游依赖项,并可能进入目前正在使用的大量 Apple 设备。”
2014 年初,CocoaPods 的“Trunk”源代码发生了变化,用于实现注册电子邮件的 MX 记录验证。这些变化创建了一条新的攻击路径,通过分析注册流程可以识别出该路径,从而导致 CVE-2024-38366 漏洞。这些变化使用第三方 Ruby gem 包 rfc-822 为用户提供的电子邮件地址创建了新的验证流程,该流程可以通过几种方式进行攻击,可能导致“转储 pod 所有者的会话令牌、毒害客户端流量甚至完全关闭服务器”的攻击。
在 CVE-2024-38367 中,研究人员发现他们可以欺骗 XFH 标头,通过破坏电子邮件安全边界来设计零点击帐户接管。
研究人员表示:“通过这种方法,我们成功接管了一些最受欢迎的 CocoaPods 软件包的所有者账户。我们可能会利用这些账户对供应链进行极具破坏性的攻击,从而影响整个 Apple 生态系统。”
DevOps 团队:开始工作
虽然这些漏洞已被修补,但开发人员和 DevOps 团队的工作才刚刚开始。
EVA 研究人员表示,近年来使用过 CocoaPods 的开发人员和 DevOps 团队(尤其是在 2023 年 10 月之前)“应该验证其应用程序代码中使用的开源依赖项的完整性”。
“我们发现的漏洞可用于控制依赖管理器本身以及任何已发布的包。”
下游依赖关系可能意味着过去几年中数以千计的应用程序和数百万台设备被暴露,应该密切关注依赖于未分配所有者的孤立 CocoaPod 包的软件。
开发人员和组织应检查其应用程序中使用的依赖项列表和包管理器,验证第三方库的校验和,执行定期扫描以检测恶意代码或可疑更改,保持软件更新,并限制使用孤立或未维护的包。
研究人员写道:“依赖项管理器是软件供应链安全中经常被忽视的一个方面。安全领导者应该探索加强对这些工具使用的治理和监督的方法。”
发表评论
您还未登录,请先登录。
登录