Vulnerabilidade de ‘confusão de dependência’ é encontrada no projeto Apache
Uma vulnerabilidade de confusão de dependência foi encontrada em um projeto Apache arquivado.
De acordo com novos dados da Legit Security, que fez a descoberta, a descoberta sublinha a importância de examinar minuciosamente projetos e dependências de terceiros, especialmente aqueles arquivados e potencialmente negligenciados em termos de atualizações e patches de segurança.
A postagem técnica, publicada hoje, sugere que, apesar da prática comum de deixar projetos arquivados intocados sob a mentalidade “se não está quebrado, não conserte”, esses projetos muitas vezes abrigam vulnerabilidades que não são resolvidas.
A confusão de dependência, também conhecida como “sequestro de dependência” ou “ataque de substituição”, permite que invasores lancem ataques à cadeia de suprimentos de software, infiltrando-se em dependências vulneráveis em software de código aberto.
Essa exploração ocorre ao fazer referência a um pacote privado/local, que inadvertidamente busca um pacote malicioso com nome semelhante no registro público devido a configurações incorretas nos gerenciadores de pacotes.
A equipe Legit demonstrou essa vulnerabilidade explorando a configuração incorreta no “Cordova App Harness”, um projeto Apache arquivado.
Ao enviar um pacote malicioso com o mesmo nome e uma versão superior, eles sequestraram a biblioteca com sucesso, levando a mais de 100 downloads em três dias. Isto sublinha a utilização contínua de projetos arquivados e os potenciais riscos de segurança que representam.
Após a exploração, os invasores podem executar código arbitrário na máquina host, resultando potencialmente em Execução Remota de Código (RCE) no ambiente de produção.
A equipe do Legit relatou o problema ao Apache em 24 de março. Em um dia, o Apache reconheceu o relatório e aceitou a solução sugerida pelo Legit de manter uma versão pública do pacote privado para evitar a exploração por invasores.
A equipe Legit destacou que configurar adequadamente os gerenciadores de pacotes é essencial para mitigar os riscos de confusão de dependências.
Os pesquisadores de segurança enfatizaram a importância de medidas de segurança proativas e práticas recomendadas, incluindo verificações de segurança regulares, substituição de projetos obsoletos, configuração segura de dependências, educação dos desenvolvedores e manutenção de informações sobre ameaças emergentes e práticas recomendadas.
Ao adotar estas recomendações, as organizações podem reforçar a sua postura de segurança e proteger os seus ecossistemas de software contra potenciais violações e vulnerabilidades.
