Недавно эксперты рассказали об исправлении крайне опасного бага в Packagist. Судя по всему, злоумышленники еще не успели создать для него эксплойт. Однако точной информации по этому поводу нет. В конце концов, всегда есть риск взлома как минимум для части пользователей. Об особенностях проблем в Packagist рассказал специалист, который проводит обучение CCNA Cyber Ops Гянджа.
Что из себя представляют Composer и Packagist, CCNA Cyber Ops Гянджа
Чтобы рассказать про Packagist, сперва необходимо объяснить несколько моментов про один из популярных инструментов. Итак, Composer представляет собой инструмент, управляющий зависимостями в PHP. С его помощью можно объявлять зависимые библиотеки и устанавливать их в проект. В свою очередь, Packagist — это хранилище для пакетов Composer. Он позволяет находить нужные пакеты, а также предоставляет Composer данные о том, где можно взять исходные файлы пакетов. Таким образом оба инструмента работают исключительно в связке друг с другом. И, как утверждает специалист по Cisco CCNA Cyber Ops Гянджа, длительное время инструменты находились в опасности.
Ежемесячно через Composer проходит около двух миллионов пакетов. При этом Packagist является одним из крупнейших хостингов в PHP в мире. Поэтому любая проблема в Packagist могла быть использована хакерами против всего сообщества специалистов по PHP. Подобные проблемы находят довольно редко, и в основном разработчики стремятся как можно скорее ликвидировать уязвимость такого масштаба. Однако в этот раз разработчики не спешили исправлять баг, занявшись им только весной 2022 года. Тогда как сама уязвимость была обнаружена еще в 2021 году. То есть потенциально злоумышленники могли успеть создать эксплойт для ее использования.
Чем опасна найденная уязвимость
Прежде всего важно отметить, что обнаруженный баг мог спровоцировать атаку на цепочку поставок. Что в результате существенно отразилось бы на безопасности всего сообщества разработчиков PHP. Проблему выявили сторонние эксперты, которые оценили ее в 8.8. баллов. Если бы хакеры обнаружили баг раньше экспертов, то смогли бы захватить полный контроль над Packagist. И тут важно отметить, что причина такой возможной эксплуатации находится в халатности разработчиков. Как сообщил эксперт Cisco CCNA Security Гянджа, именно они виноваты в создавшейся рискованной ситуации.
В 2021 году эксперты нашли уязвимость в инструменте Composer. Они поспешили уведомить разработчиков и настоятельно убедить их в необходимости выпуска срочного патча. Так как уязвимость позволяла:
- скомпрометировать Composer;
- заразить пакеты;
- похитить конфиденциальные данные.
Безусловно, разработчики не оставили проблему без внимания и поспешили ее ликвидировать. Однако позже стало известно, что они некорректно исправили баг. То есть технически уязвимостью все еще можно было воспользоваться. И именно из-за этого новый баг в Packagist стал крайне опасным. То есть если бы разработчики более ответственно относились к своей работе, подобного бы не произошло.
Если бы разработчики и в этот раз халатно отнеслись к исправлению бага, то у сообщества были бы огромные проблемы. Дело в том, что баг позволял перехватывать не менее 100 миллионов запросов. То есть огромное количество пакетов с данными. Затем заражать их вирусами и отправлять по назначению. В результате подобная атака могла бы стать причиной компрометации около миллиона серверов по всему миру. О чем рассказал эксперт, который преподает курсы кибербезопасности Cisco Гянджа.
Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.