去年 3 月，原始碼檢測軟體商 Checkmark 曾揭露與 CocoaPods 相依性管理工具相關之已廢棄子網域，遭到駭客透過 GitHub Pages  網頁代管服務加以劫持的安全事件。如今，安全研究人員在 Swift 和 Objective-C Cocoa 開源專案的 CocoaPods 管理工具中，發現了 3 個安全漏洞，這些漏洞可能被利用來發動軟體供應鏈攻擊，進而對依賴在兩專案之下約 300 萬個 macOS 和 iOS 熱門 App 的安全性造成重大影響。 

以色列應用安全公司 E.V.A Information Security 研究員 Reef Spektor 和 Eran Vaknin 於週一發布一份指出，這 3 個漏洞讓惡意行動者得以聲明擁有數千個無人聲明所有權的 Pod，進而能將惡意程式植入許多最受歡迎的 iOS 和 macOS 應用程式之中。事實上，CocoaPods 工具已在 2023 年 10 月修補了這 3 個安全漏洞，並且在漏洞被揭露時，對所有的連線階段進行重新設定。

其中被通用漏洞評分系統（CVSS）評分為 9.3 的重大漏洞 CVE-2024-38368，允許攻擊者濫用「Claim Your Pods」進程並控制封包，進而有效篡改原始碼並引入惡意變更。

該漏洞的根源可以追溯到 2014 年，當時遷移到 Trunk 伺服器留下了數千個未知（或無人聲明）所有權的封包，允許攻擊者使用公共 API 來聲明 Pod，並透過在 CocoaPods 原始程式碼中所找到的電子郵件地址（unclaimed-pods@cocoapods.org）來接管控制權。

再來是被 CVSS 評為 10 分、亦即最高嚴重等級的 CVE-2024-38366 漏洞，其充份利用了一個不安全的電子郵件驗證流程，以便在 Trunk 伺服器上運行可用來植入或替換封包的任意程式碼。

在該服務中還發現了電子郵件地址驗證元件中的第二個安全漏洞（CVE-2024-38367，CVSS 評分為8.2）。這個漏洞可能誘使收件人點擊看似無害的驗證連結，實際上這會將請求重定向到攻擊者控制的網域，以獲取開發人員連線階段令牌的存取權限。更糟的是，透過偽造 HTTP 表頭（亦即修改 X-Forwarded-Host 表頭欄位）並利用配置錯誤的電子郵件安全工具，便可以進一步升級成為零點擊帳號接管攻擊（zero-click account takeover attack）。

（首圖來源：shutterstock）

文章看完覺得有幫助，何不給我們一個鼓勵