去年 3 月,原始碼檢測軟體商 Checkmark 曾揭露與 CocoaPods 相依性管理工具相關之已廢棄子網域,遭到駭客透過 GitHub Pages 網頁代管服務加以劫持的安全事件。如今,安全研究人員在 Swift 和 Objective-C Cocoa 開源專案的 CocoaPods 管理工具中,發現了 3 個安全漏洞,這些漏洞可能被利用來發動軟體供應鏈攻擊,進而對依賴在兩專案之下約 300 萬個 macOS 和 iOS 熱門 App 的安全性造成重大影響。
以色列應用安全公司 E.V.A Information Security 研究員 Reef Spektor 和 Eran Vaknin 於週一發布一份指出,這 3 個漏洞讓惡意行動者得以聲明擁有數千個無人聲明所有權的 Pod,進而能將惡意程式植入許多最受歡迎的 iOS 和 macOS 應用程式之中。事實上,CocoaPods 工具已在 2023 年 10 月修補了這 3 個安全漏洞,並且在漏洞被揭露時,對所有的連線階段進行重新設定。
其中被通用漏洞評分系統(CVSS)評分為 9.3 的重大漏洞 CVE-2024-38368,允許攻擊者濫用「Claim Your Pods」進程並控制封包,進而有效篡改原始碼並引入惡意變更。
該漏洞的根源可以追溯到 2014 年,當時遷移到 Trunk 伺服器留下了數千個未知(或無人聲明)所有權的封包,允許攻擊者使用公共 API 來聲明 Pod,並透過在 CocoaPods 原始程式碼中所找到的電子郵件地址(unclaimed-pods@cocoapods.org)來接管控制權。
再來是被 CVSS 評為 10 分、亦即最高嚴重等級的 CVE-2024-38366 漏洞,其充份利用了一個不安全的電子郵件驗證流程,以便在 Trunk 伺服器上運行可用來植入或替換封包的任意程式碼。
在該服務中還發現了電子郵件地址驗證元件中的第二個安全漏洞(CVE-2024-38367,CVSS 評分為8.2)。這個漏洞可能誘使收件人點擊看似無害的驗證連結,實際上這會將請求重定向到攻擊者控制的網域,以獲取開發人員連線階段令牌的存取權限。更糟的是,透過偽造 HTTP 表頭(亦即修改 X-Forwarded-Host 表頭欄位)並利用配置錯誤的電子郵件安全工具,便可以進一步升級成為零點擊帳號接管攻擊(zero-click account takeover attack)。
(首圖來源:shutterstock)
文章看完覺得有幫助,何不給我們一個鼓勵
想請我們喝幾杯咖啡?
每杯咖啡 65 元
您的咖啡贊助將是讓我們持續走下去的動力
標題:300 萬個 iOS/macOS 熱門 App 受害!CocoaPods 重大漏洞引發供應鏈攻擊
地址:https://www.utechfun.com/post/392156.html