Các nhà nghiên cứu đã tiết lộ chi tiết về một lỗ hổng bảo mật mức độ nghiêm trọng cao hiện đã được vá trong Packagist, một kho lưu trữ gói phần mềm PHP, có thể đã bị khai thác để gắn kết các cuộc tấn công chuỗi cung ứng phần mềm.
“Lỗ hổng này cho phép giành được quyền kiểm soát Packagist”, nhà nghiên cứu Thomas Chauchefoin của SonarSource cho biết trong một báo cáo được chia sẻ với The Hacker News. Packagist được sử dụng bởi Trình soạn thảo trình quản lý gói PHP để xác định và tải xuống các phần phụ thuộc phần mềm được các nhà phát triển đưa vào các dự án của họ.
Việc tiết lộ được đưa ra khi việc trồng phần mềm độc hại trong các kho mã nguồn mở đang biến thành một đường dẫn hấp dẫn để gắn kết các cuộc tấn công chuỗi cung ứng phần mềm.
Được theo dõi là CVE-2022-24828 (điểm CVSS: 8,8), sự cố đã được mô tả như một trường hợp chèn lệnh và có liên quan đến một lỗi Trình soạn nhạc tương tự khác (CVE-2021-29472) xuất hiện vào tháng 4 năm 2021, cho thấy một lỗi bản vá không đầy đủ.
“Kẻ tấn công kiểm soát kho lưu trữ Git hoặc Mercurial được liệt kê rõ ràng bằng URL trong composer.json của dự án có thể sử dụng các tên nhánh được chế tạo đặc biệt để thực hiện các lệnh trên máy đang chạy bản cập nhật trình soạn nhạc”, Packagist tiết lộ trong một lời khuyên vào tháng 4 năm 2022.
Việc khai thác thành công lỗ hổng có nghĩa là các yêu cầu cập nhật một gói có thể đã bị tấn công để phân phối các phần phụ thuộc độc hại bằng cách thực hiện các lệnh tùy ý trên máy chủ phụ trợ đang chạy phiên bản chính thức của Packagist.
“Làm tổn hại [the backend services] Chauchefoin giải thích rằng sẽ cho phép những kẻ tấn công buộc người dùng tải xuống các phần phụ thuộc phần mềm đã được kiểm duyệt lại vào lần tiếp theo họ thực hiện cài đặt mới hoặc cập nhật gói Composer “.
Điều đó nói rằng, không có bằng chứng cho thấy lỗ hổng bảo mật đã được khai thác cho đến nay. Các bản sửa lỗi đã được triển khai trong các phiên bản Composer 1.10.26, 2.2.12 và 2.3.5 sau khi SonarSource báo cáo lỗ hổng vào ngày 7 tháng 4 năm 2022.
Mã nguồn mở ngày càng trở thành mục tiêu lựa chọn sinh lợi cho các tác nhân đe dọa do chúng có thể được vũ khí hóa dễ dàng chống lại chuỗi cung ứng phần mềm.
Đầu tháng 4 này, SonarSource cũng đã trình bày chi tiết về một lỗ hổng bảo mật 15 năm tuổi trong kho lưu trữ PEAR PHP có thể cho phép kẻ tấn công truy cập trái phép và xuất bản các gói giả mạo và thực thi mã tùy ý.
“Mặc dù các chuỗi cung ứng có thể có các hình thức khác nhau, nhưng một trong số đó có tác động mạnh hơn đáng kể: Bằng cách giành quyền truy cập vào các máy chủ phân phối các thành phần phần mềm của bên thứ ba này, các tác nhân đe dọa có thể thay đổi chúng để có được chỗ đứng trong hệ thống của người dùng”, Chauchefoin nói .
