Новая атака на цепочку поставок: Java и Android под ударом!
Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...
Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.
К примеру, пакет
Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.
Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...
Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%
Крайне интересные цифры.
Снимаю шляпу перед исследователями такого уровня :)
Я думаю, что скоро нас ждет интересное продолжение :)
#oversecured #supplychain #android
Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...
Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.
К примеру, пакет
com.stingray.mobile превращается в домен mobile.stingray.com. И, добавив несколько полей в TXT-запись мы получаем верифицированный аккаунт, который может загружать новые и обновлять существующие версии. Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.
Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...
Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%
Крайне интересные цифры.
Снимаю шляпу перед исследователями такого уровня :)
Я думаю, что скоро нас ждет интересное продолжение :)
#oversecured #supplychain #android
News, Techniques & Guides
Introducing MavenGate: a supply chain attack method for Java and Android applications
More recently, the cybersecurity community has seen numerous studies of supply chain attacks on Web apps.
🔥16😁6👍5❤1🌚1
Mobile AppSec World
Новая атака на цепочку поставок: Java и Android под ударом! Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android... Способ…
И снова про MavenGate!
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака невозможна. Дело в том, что на самом деле один репозиторий пока не в состоянии решить эту проблему. До тех пор, пока можно будет загружать любые компоненты в любые репозитории - она будет актуальна и ещё как возможна!
И на самом деле, уязвимы не только 18% компонент, но и многие проекты по цепочке, которые используют уязвимые либы как зависимости. И дальше, паровозиком транзитивных зависимостей и попадёт скомпрометированная библиотека в проект конечного разработчика.
На момент вчерашнего дня уже было куплено 15 доменов и потихоньку эта цифра растет. Кто их покупает и для чего, хороший вопрос, но я уверен, что эта атака обязательно стрельнет где-то :)
Ну а мы в свою очередь добавили к себе анализ SBOM-файла для Android приложений, для того чтобы определить, есть ли проблемные зависимости в приложениях, которые мы анализируем. Уверен, что мы сможем помочь выявить «шпиона» :D
Всем приятного чтения, мы очень старались!
#habr #sca #supplychain
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака невозможна. Дело в том, что на самом деле один репозиторий пока не в состоянии решить эту проблему. До тех пор, пока можно будет загружать любые компоненты в любые репозитории - она будет актуальна и ещё как возможна!
И на самом деле, уязвимы не только 18% компонент, но и многие проекты по цепочке, которые используют уязвимые либы как зависимости. И дальше, паровозиком транзитивных зависимостей и попадёт скомпрометированная библиотека в проект конечного разработчика.
На момент вчерашнего дня уже было куплено 15 доменов и потихоньку эта цифра растет. Кто их покупает и для чего, хороший вопрос, но я уверен, что эта атака обязательно стрельнет где-то :)
Ну а мы в свою очередь добавили к себе анализ SBOM-файла для Android приложений, для того чтобы определить, есть ли проблемные зависимости в приложениях, которые мы анализируем. Уверен, что мы сможем помочь выявить «шпиона» :D
Всем приятного чтения, мы очень старались!
#habr #sca #supplychain
Хабр
Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений
Всем привет! Сегодня с вами Юрий Шабалин, генеральный директор «Стингрей Технолоджиз», и я хотел бы разобрать в этой статье новый тип атаки на цепочку поставок под названием «MavenGate». А что в ней,...
🔥8👍2
Защита от атак на Supply Chain, пособие для gradle
Всем привет!
В начале года была новость про атаку на цепочку поставок под названием MavenGate. И мы в своем продукте Стингрей очень быстро добавили возможность анализа на эту атаку.
И спустя некоторое время нашел очень подробную статью про техники защиты от подобных атак. Конечно, мы тоже давали рекомендации, но тут они максимально подробно расписаны и на примерах показано как и что нужно сделать.
На практике я пока ни разу не видел применение этих техник, но надеюсь, что в ближайшем будущем это станет обязательным при разработке приложений.
Всем, кто использует gradle рекомендую и советую.
#gradle #supplychain #defence
Всем привет!
В начале года была новость про атаку на цепочку поставок под названием MavenGate. И мы в своем продукте Стингрей очень быстро добавили возможность анализа на эту атаку.
И спустя некоторое время нашел очень подробную статью про техники защиты от подобных атак. Конечно, мы тоже давали рекомендации, но тут они максимально подробно расписаны и на примерах показано как и что нужно сделать.
На практике я пока ни разу не видел применение этих техник, но надеюсь, что в ближайшем будущем это станет обязательным при разработке приложений.
Всем, кто использует gradle рекомендую и советую.
#gradle #supplychain #defence
Telegram
Mobile AppSec World
И снова про MavenGate!
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака…
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака…
👍2🔥1👌1