วันศุกร์ที่ 19 กุมภาพันธ์ พ.ศ. 2564

นักวิจัยแฮกบริษัทเทคโนโลยีกว่า 35 บริษัทโดยใช้วิธีใหม่ที่เรียกว่าการจู่โจมห่วงโซ่อุปทาน

 

ภาพจาก BleepingComputer

Alex Birsan นักวิจัยด้านความปลอดภัยเปิดตัวการจู่โจมใหม่ที่เรียกว่าการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ ที่สามารถเจาะเข้าสู่ระบบภายในของบริษัทยักษ์ใหญ่กว่า 35 แห่งรวมถึง Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla และ Uber การโจมตีดังกล่าวเกี่ยวข้องกับการอัปโหลดมัลแวร์ไปยังที่เก็บ (repository) แบบโอเพนซอร์สเช่น PyPI, npm และ RubyGems จากนั้นจะกระจายต่อไปยังแอปพลิเคชันภายในของ บริษัทโดยอัตโนมัติ การโจมตีนี้ผู้ที่เป็นเหยื่อนั้นไม่จำเป็นต้องทำอะไรเลย เพราะวิธีนี้ใช้ประโยชน์จากความสับสนของการขึ้นแก่กัน (dependency confusion) ซึ่งเป็นข้อบกพร่องในการออกแบบที่เป็นเอกลักษณ์ของระบบนิเวศแบบโอเพนซอร์ส Birsan อธิบายว่า "ช่องโหว่หรือข้อบกพร่องในการออกแบบ ในเครื่องมือสร้างหรือติดตั้งอัตโนมัติ อาจทำให้มีการใช้แพ็กเกจแบบสาธารณะแทนแพ็กเกจที่พัฒนาขึ้นเพื่อใช้ภายในบริษัท ที่ใช้ชื่อเดียวกัน" Birsan ได้รับเงินกว่า $ 130,000 เป็นรางวัลจากจากโปรแกรมล่าบั๊ก (bug bounty program) จากงานวิจัยนี้ของเขา

อ่านข่าวเต็มได้ที่: BleepingComputer

ไม่มีความคิดเห็น:

โพสต์ความคิดเห็น