Schwachstelle in Apache Projekt ermöglicht Angriffe auf Lieferkette Archivierte Apache-Projekte sind eine Gefahr

Anbieter zum Thema

Fsas Technologies GmbH

FTAPI Software GmbH

Bei archivierten Apache-Projekten gibt es eine Schwachstelle, die Angreifer nutzen können, um Lieferketten anzugreifen, indem sie das archivierte Projekt fälschen.

Nutzen Angreifer die Schwachstelle bei archivierten Apache-Projekten aus, stehen die Chancen so, dass die Angriffe nicht entdeckt werden. Außerdem erhalten archivierte Projekte in den meisten Fällen keine Sicherheitsupdates. Dadurch können Angreifer die Projekte kompromittieren und Malware oder anderen schädlichen Code in Lieferketten einschleusen. Dazu nutzen Angreifer das Verhalten von Paketmanagern aus öffentliche Repositorys zu bevorzugen. Die Angreifer legen gefälschte Pakete im Repository ab und nutzen dadurch das Verhalten von Paketmanagern aus. Diese laden das Pakete herunter und kompromittieren dadurch die Lieferkette, die von den Paketen abhängt. Aktuell ist zum Beispiel das Apache Cordova app harness-Projekt betroffen.

Paketmanager vor Schwachstellen in Apache-Projekten schützen

Um sich vor dieser Art von Angriffen zu schützen, können Admins oder Entwickler die Paketmanager so konfigurieren, dass diese private Repositories bevorzugen. Hier besteht keine Gefahr, dass Malware durch die Schwachstelle implementiert wird. Das Projekt nutzt eine lokale Abhängigkeit mit der Bezeichnung "cordova-harness-client", auf die in der package.json-Datei verwiesen wird. Eine Schwachstelle in der NPM-Abhängigkeitsauflösung ermöglicht es Angreifern, bösartige Pakete mit höheren Versionen zu veröffentlichen, die lokal verlinkte Pakete ersetzen.

Die Entdeckung betont die Notwendigkeit, drittanbieterabhängige Projekte als potenzielle Schwachstellen in der Softwareentwicklung zu betrachten, insbesondere archivierte Open-Source-Projekte, die möglicherweise nicht regelmäßig aktualisiert oder abgesichert werden. Archivierte Projekte bestehen oft als Legacy-Systeme in Organisationen fort, was aus der bekannten Devise resultiert: „Wenn es nicht kaputt ist, repariere es nicht.“ Diese Projekte neigen dazu, Sicherheitslücken aufzuweisen, die keine Aufmerksamkeit erhalten und wahrscheinlich nicht behoben werden.

Was ist Abhängigkeitsverwirrung/Dependency Confusion?

Bedrohungsakteure können Angriffe auf die Software-Lieferkette initiieren, indem angreifbare Abhängigkeiten in Open-Source-Software eingeschleust werden. Techniken hierfür umfassen Typosquatting, RepoJacking und Abhängigkeitsverwirrung. Letztere, auch bekannt als „Dependency Hijacking“ oder „Substitutionsangriff“, treten auf, wenn auf ein privates Paket verwiesen wird, das aus einem privaten Register bezogen werden sollte, stattdessen jedoch ein bösartiges Paket mit gleichem Namen aus dem öffentlichen Paketmanager heruntergeladen wird. Nach der Entdeckung dieser Angriffsart führten NPM und ähnliche Paketmanager Konfigurationen ein, die dies verhindern und die private Version priorisieren sollen.

Zur sicheren Referenzierung eines lokalen Pakets sollte ein relativer Dateipfad verwendet werden. Um zu prüfen, ob diese Anwendung tatsächlich genutzt wird, erstellte das Forschungsteam am Beispiel der aktuell gefundenen Lücke ein öffentliches NPM-Projekt mit der Bezeichnung „Cordova-harness-client“ mit einer höheren Version. Innerhalb von drei Tagen verzeichnete dieses Paket mehr als 100 Downloads. Dies deutet darauf hin, dass die Bibliothek immer noch genutzt wird und ein Sicherheitsrisiko für ihre Benutzer darstellen kann. Bei einer erfolgreichen Ausnutzung könnte der Angreifer beliebigen Code auf der Hostmaschine ausführen, auf der die verwundbare Anwendung bereitgestellt wird, was letztendlich zu einer Remote Code Execution (RCE) im Produktionsumfeld führen kann.

(ID:50031951)