300 萬個 iOS/macOS 熱門 App 受害!CocoaPods 重大漏洞引發供應鏈攻擊

2024-07-03 10:01:00    編輯: Evan
導讀 去年 3 月,原始碼檢測軟體商 Checkmark 曾揭露與 CocoaPods 相依性管理工具相關之已廢棄子網域,遭到駭客透過 GitHub Pages  網頁代管服務加以劫持的安全事件。如今,安...


去年 3 月,原始碼檢測軟體商 Checkmark 曾揭露與 CocoaPods 相依性管理工具相關之已廢棄子網域,遭到駭客透過 GitHub Pages  網頁代管服務加以劫持的安全事件。如今,安全研究人員在 Swift 和 Objective-C Cocoa 開源專案的 CocoaPods 管理工具中,發現了 3 個安全漏洞,這些漏洞可能被利用來發動軟體供應鏈攻擊,進而對依賴在兩專案之下約 300 萬個 macOS 和 iOS 熱門 App 的安全性造成重大影響。 

以色列應用安全公司 E.V.A Information Security 研究員 Reef Spektor 和 Eran Vaknin 於週一發布一份指出,這 3 個漏洞讓惡意行動者得以聲明擁有數千個無人聲明所有權的 Pod,進而能將惡意程式植入許多最受歡迎的 iOS 和 macOS 應用程式之中。事實上,CocoaPods 工具已在 2023 年 10 月修補了這 3 個安全漏洞,並且在漏洞被揭露時,對所有的連線階段進行重新設定。

其中被通用漏洞評分系統(CVSS)評分為 9.3 的重大漏洞 CVE-2024-38368,允許攻擊者濫用「Claim Your Pods」進程並控制封包,進而有效篡改原始碼並引入惡意變更。

該漏洞的根源可以追溯到 2014 年,當時遷移到 Trunk 伺服器留下了數千個未知(或無人聲明)所有權的封包,允許攻擊者使用公共 API 來聲明 Pod,並透過在 CocoaPods 原始程式碼中所找到的電子郵件地址(unclaimed-pods@cocoapods.org)來接管控制權。

再來是被 CVSS 評為 10 分、亦即最高嚴重等級的 CVE-2024-38366 漏洞,其充份利用了一個不安全的電子郵件驗證流程,以便在 Trunk 伺服器上運行可用來植入或替換封包的任意程式碼。

在該服務中還發現了電子郵件地址驗證元件中的第二個安全漏洞(CVE-2024-38367,CVSS 評分為8.2)。這個漏洞可能誘使收件人點擊看似無害的驗證連結,實際上這會將請求重定向到攻擊者控制的網域,以獲取開發人員連線階段令牌的存取權限。更糟的是,透過偽造 HTTP 表頭(亦即修改 X-Forwarded-Host 表頭欄位)並利用配置錯誤的電子郵件安全工具,便可以進一步升級成為零點擊帳號接管攻擊(zero-click account takeover attack)。

(首圖來源:shutterstock)

文章看完覺得有幫助,何不給我們一個鼓勵

想請我們喝幾杯咖啡?

每杯咖啡 65 元

x 1
x 3
x 5
x

您的咖啡贊助將是讓我們持續走下去的動力

總金額共新臺幣 0


關鍵字: , , , , ,


標題:300 萬個 iOS/macOS 熱門 App 受害!CocoaPods 重大漏洞引發供應鏈攻擊

地址:https://www.utechfun.com/post/392156.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

猜你喜歡