Το μεγαλύτερο μητρώο λογισμικού packages Node.js, το npm, έχει αποκαλύψει πολλά ελαττώματα ασφαλείας που εντοπίστηκαν και επιδιορθώθηκαν πρόσφατα.
Το πρώτο ελάττωμα αφορά τη διαρροή ονομάτων ιδιωτικών npm packages στον server ‘αντίγραφο’ του npmjs.com. Ενώ, το δεύτερο ελάττωμα επιτρέπει στους εισβολείς να δημοσιεύουν νέες εκδόσεις οποιουδήποτε υπάρχοντος πακέτου npm του οποίου δεν κατέχουν ή δεν έχουν δικαιώματα, λόγω ακατάλληλων ελέγχων authorization.
Δείτε επίσης: Microsoft Patch Tuesday Νοεμβρίου 2021: Διορθώνει 55 ευπάθειες
Διέρρευσαν private ονόματα npm package
Αυτή την εβδομάδα, η μητρική εταιρεία του npm, το GitHub, αποκάλυψε δύο ελαττώματα ασφαλείας που εντοπίστηκαν και επιλύθηκαν στο npm registry μεταξύ Οκτωβρίου και αυτού του μήνα.
Η πρώτη είναι μια διαρροή δεδομένων στον replication server του npmjs, η οποία προκλήθηκε από «routine maintenance». Η διαρροή αποκάλυψε μια λίστα με ιδιωτικά npm packages, αλλά όχι το περιεχόμενο αυτών των packages κατά τη διάρκεια του παραθύρου maintenance.
Σημειώστε ότι, ενώ το περιεχόμενο των ιδιωτικών packages δεν αποκαλύφθηκε, η γνώση των ιδιωτικών ονομάτων package είναι αρκετή για τους απειλητικούς φορείς να διεξάγουν στοχευμένες επιθέσεις dependency confusion και typosquatting με αυτοματοποιημένο τρόπο, όπως έχουμε δει ξανά και ξανά.
Η διαρροή αφορά συγκεκριμένα ιδιωτικά npm libraries εμβέλειας που μοιάζουν με “@owner/package” και δημιουργήθηκαν πριν από τις 20 Οκτωβρίου. Τα ονόματα τέτοιων libraries εκτέθηκαν “μεταξύ 21 Οκτωβρίου 13:12:10Z UTC και 29 Οκτωβρίου 15:51:00Z UTC”, σύμφωνα με το GitHub.
Δείτε επίσης: iOS 15.1: Τα iPhone εξακολουθούν να είναι ευάλωτα σε δύο zero-day ευπάθειες;
Η διαρροή δεδομένων εντοπίστηκε από το GitHub στις 26 Οκτωβρίου και στις 29, όλες οι εγγραφές που περιείχαν ιδιωτικά package names διαγράφηκαν από τη βάση δεδομένων αναπαραγωγής του npm. Παρόλο που, το GitHub προειδοποιεί ότι παρόλα αυτά, η υπηρεσία replicate.npmjs.com καταναλώνεται από τρίτα μέρη, τα οποία ενδέχεται, ως εκ τούτου, να συνεχίσουν να διατηρούν ένα αντίγραφο ή “ενδέχεται να έχουν αναπαράγει τα δεδομένα αλλού”.
Για να αποτρέψει την επανάληψη ενός τέτοιου ζητήματος, το GitHub έχει κάνει αλλαγές στη διαδικασία δημιουργίας της δημόσιας βάσης δεδομένων αναπαραγωγής, η οποία αναμένεται να εξαλείψει την πιθανότητα διαρροής ιδιωτικών package names στο μέλλον.
Το ελάττωμα θα μπορούσε να επιτρέψει τη μη εξουσιοδοτημένη δημοσίευση νέων εκδόσεων
Επιπλέον, το GitHub αποκάλυψε ένα σοβαρό σφάλμα που θα μπορούσε να «επιτρέψει σε έναν εισβολέα να δημοσιεύσει νέες εκδόσεις οποιουδήποτε npm package χρησιμοποιώντας έναν λογαριασμό χωρίς την κατάλληλη εξουσιοδότηση».
Αυτή η ευπάθεια προήλθε από ακατάλληλους ελέγχους εξουσιοδότησης και επικύρωση δεδομένων μεταξύ πολλών μικροϋπηρεσιών που επεξεργάζονται αιτήματα στο npm registry.
Δείτε επίσης: Google Chrome: Έκτακτο update για να διορθωθούν zero-day ευπάθειες
Οι ερευνητές Kajetan Grzybowski και Maciej Piechota έχουν πιστωθεί την υπεύθυνη αναφορά του ελαττώματος μέσω του προγράμματος επιβράβευσης σφαλμάτων ασφαλείας του GitHub.
Και, μέχρι στιγμής, φαίνεται ότι δεν υπάρχουν στοιχεία εκμετάλλευσης. Η ευπάθεια υπήρχε στο μητρώο npm “πέρα από το χρονικό πλαίσιο για το οποίο διαθέτουμε telemetry για να προσδιορίσουμε εάν έχει γίνει ποτέ εκμετάλλευση”.
Το GitHub έχει δηλώσει με μεγάλη σιγουριά ότι δεν έχει γίνει εκμετάλλευση της ευπάθειας τουλάχιστον από τον Σεπτέμβριο του 2020.
Πηγή πληροφοριών: bleepingcomputer.com
