Vulnerabilidade de ‘confusão de dependência’ é encontrada no projeto Apache

De acordo com novos dados da Legit Security, que fez a descoberta, a descoberta sublinha a importância de examinar minuciosamente projetos e dependências de terceiros, especialmente aqueles arquivados e potencialmente negligenciados em termos de atualizações e patches de segurança. 

A postagem técnica, publicada hoje, sugere que, apesar da prática comum de deixar projetos arquivados intocados sob a mentalidade “se não está quebrado, não conserte”, esses projetos muitas vezes abrigam vulnerabilidades que não são resolvidas.

A confusão de dependência, também conhecida como “sequestro de dependência” ou “ataque de substituição”, permite que invasores lancem ataques à cadeia de suprimentos de software, infiltrando-se em dependências vulneráveis ​​em software de código aberto. 

Essa exploração ocorre ao fazer referência a um pacote privado/local, que inadvertidamente busca um pacote malicioso com nome semelhante no registro público devido a configurações incorretas nos gerenciadores de pacotes.

A equipe Legit demonstrou essa vulnerabilidade explorando a configuração incorreta no “Cordova App Harness”, um projeto Apache arquivado. 

Ao enviar um pacote malicioso com o mesmo nome e uma versão superior, eles sequestraram a biblioteca com sucesso, levando a mais de 100 downloads em três dias. Isto sublinha a utilização contínua de projetos arquivados e os potenciais riscos de segurança que representam.

Após a exploração, os invasores podem executar código arbitrário na máquina host, resultando potencialmente em Execução Remota de Código (RCE) no ambiente de produção. 

A equipe do Legit relatou o problema ao Apache em 24 de março. Em um dia, o Apache reconheceu o relatório e aceitou a solução sugerida pelo Legit de manter uma versão pública do pacote privado para evitar a exploração por invasores.

A equipe Legit destacou que configurar adequadamente os gerenciadores de pacotes é essencial para mitigar os riscos de confusão de dependências. 

Os pesquisadores de segurança enfatizaram a importância de medidas de segurança proativas e práticas recomendadas, incluindo verificações de segurança regulares, substituição de projetos obsoletos, configuração segura de dependências, educação dos desenvolvedores e manutenção de informações sobre ameaças emergentes e práticas recomendadas. 

Ao adotar estas recomendações, as organizações podem reforçar a sua postura de segurança e proteger os seus ecossistemas de software contra potenciais violações e vulnerabilidades.