Um investigador de segurança revelou uma nova forma sobre como é possível atacar diretamente algumas grandes empresas no mercado usando apenas um pequeno truque baseado no uso de software open-source.
A descoberta do investigador, e a sua demonstração de uma prova de conceito do ataque, demonstra a possibilidade de empresas como a Microsoft, PayPal, Netflix, Uber, Tesla, Apple, entre outras podem ser facilmente comprometidas com os seus sistemas internos.
O truque encontra-se no facto que muitas empresas usam nos seus sistemas software open-source, o qual pode ser estrategicamente adaptado para enganar as empresas e levar à instalação de possível software malicioso nos seus softwares internos.
De acordo com o portal BleepingComputer, a falha encontra-se na forma como algumas empresas recebem as atualizações de software essencial para o funcionamento dos seus sistemas – o que normalmente é feito de forma automática através de repertórios como os do PIPI, npm ou Rubygems.
Algumas empresas usam nos seus softwares pacotes adicionais que não estão publicamente acessíveis, mas invés disso apenas podem ser usados na rede interna da mesma. Estes pacotes não se encontram disponíveis em repertórios públicos, e invés disso são instalados ou atualizados diretamente pelos sistemas internos dessas empresas.
O problema encontra-se no facto que, caso um utilizador malicioso tenha acesso ao nome desses pacotes, pode criar versões publicas com os mesmos nomes, que vão ter prioridade quando os sistemas das empresas instalarem atualizações. Os pacotes públicos acabam por ter uma prioridade superior à de pacotes internos, e como tal são instalados automaticamente caso estejam disponíveis.
Isto abre as portas para que possíveis componentes maliciosos possam ser instalados em sistemas de grandes empresas, sem que estejas tenham propriamente de ser atacadas diretamente nos seus sistemas. Basta atualizarem os mesmos e terem um repertório potencialmente aberto a ser explorado.
O investigador demonstrou o funcionamento deste sistema, o qual foi confirmado pela maioria das empresas.
Nenhum comentário
Seja o primeiro!