Investigador hackea 35 importantes empresas tecnológicas, incluidas Microsoft, Tesla y Netflix

Comparta este Artículo en:

Alex Birsan, un investigador de amenazas rumano, ganó recientemente más de 130.000 dólares al irrumpir en los sistemas de TI de docenas de importantes empresas tecnológicas.

Birsan utilizó un único ataque innovador a la cadena de suministro para comprometer a Tesla, Netflix, Microsoft, Apple, Paypal, Uber, Yelp y al menos otras 30 empresas.

En el proceso, el investigador expuso una gran vulnerabilidad y ganó grandes sumas a través de múltiples recompensas por errores: las tarifas que pagan las empresas a los piratas informáticos de “sombrero blanco” que prueban con éxito sus defensas en línea.

Cómo lo hizo Birsan es bastante interesante.

Implica la manipulación de código en proyectos de desarrollo, específicamente dependencias, cierto código aumentativo que se utiliza para ejecutar con éxito un programa.

El ataque inyectaría código malicioso “en herramientas comunes para instalar dependencias en proyectos de desarrolladores que normalmente usan depósitos públicos de sitios como GitHub.

Luego, el código malicioso usa estas dependencias para propagar malware a través de las aplicaciones y sistemas internos de una empresa objetivo“.

Todo esto es bastante complicado, pero esencialmente, Birsan descubrió que algunos paquetes de código internos de grandes empresas se publicaban involuntariamente en repositorios públicos, como Github, debido a una variedad de razones, que incluyen “servidores de compilación internos o basados en la nube mal configurados” y “ tuberías de desarrollo sistémicamente vulnerables ”, entre otras cosas.

Birsan también descubrió que las herramientas de compilación automatizadas, que son utilizadas por las empresas durante el desarrollo, a veces “confundían” este código público con código interno si los paquetes tuvieran el mismo nombre.

Como resultado, un atacante podría potencialmente cargar “malware en repositorios de código abierto” que luego se deslizaría automáticamente en el sistema de una empresa.

Estos paquetes de códigos falsos y maliciosos permitirían a un malhechor ejecutar código arbitrario o podrían usarse para agregar “puertas traseras dentro de los proyectos afectados durante el proceso de compilación“, dijo Birsan.

Por ejemplo, Paypal publicó una nota sobre los descubrimientos de Birsan, explicando lo que había sucedido en su caso:

… ciertos proyectos de desarrollo se establecieron de forma predeterminada en el registro público de NPM, en lugar de utilizar los paquetes internos previstos.

Dado que los paquetes en el registro público no existían, el investigador los creó y observó que se descargaron.

Si estos paquetes se hubieran registrado con intenciones maliciosas, es posible que el desarrollo interno hubiese incluido este código.

Si bien hay comprobaciones y controles adicionales en el proceso de desarrollo, esto podría haber causado problemas importantes para los sistemas internos.

It promotes muscle growth and strength. purchase sildenafil online This capsule has the chief component, Sildenafil citrate, which is responsible for erection. discount cialis This allows your underlying/acute conditions to be addressed at the same time as being treated with NAET. buy sildenafil cheap Sometimes these are symptoms of diseases such as ear infection or Meniere’s cheap levitra Continued disease.

Gracias al informe del investigador, PayPal pudo mitigar el problema con el registro público y no confirmó ninguna evidencia de actividad maliciosa previa.

Birsan ha denominado a esta vulnerabilidad “confusión de dependencia”, que dijo en una publicación reciente de blog, “se detectó en más de 35 organizaciones hasta la fecha, en los tres lenguajes de programación probados.

La gran mayoría de las empresas afectadas pertenecen a la categoría de más de 1000 empleados, lo que probablemente refleja la mayor prevalencia del uso de bibliotecas internas en organizaciones más grandes“.

El exploit implica “vulnerabilidades o fallas de diseño en herramientas de instalación o compilación automatizadas [que] pueden hacer que las dependencias públicas se confundan con dependencias internas con el mismo nombre exacto“.

Cuando Birsan comenzó a aprovechar esta estrategia el año pasado, la empresa de seguridad Sonatype comenzó a marcar los paquetes que estaba enviando como malware, informó recientemente la compañía, pero Birsan se acercó rápidamente y les notificó de su investigación en curso, explicando que una divulgación oficial sobre la vulnerabilidad sería próximamente en 2021.

Los exitosos hacks de Birsan le han valido múltiples recompensas por errores y la gratitud de varias grandes empresas de tecnología.

“Creo que es importante dejar en claro que todas las organizaciones seleccionadas durante esta investigación han otorgado permiso para que se pruebe su seguridad, ya sea a través de programas públicos de recompensas por errores o mediante acuerdos privados.

No intente este tipo de prueba sin autorización”, escribió Birsan en la publicación del blog.

Birsan, quien anteriormente trabajó como ingeniero de Python con Bitdefender y ha pasado los últimos tres años como consultor de seguridad de TI autónomo, señaló además que este tipo de vulnerabilidad que descubrió tiene el potencial de convertirse en un problema mucho mayor en el futuro.

“Creo que encontrar formas nuevas e inteligentes de filtrar nombres de paquetes internos expondrá sistemas aún más vulnerables, y buscar lenguajes de programación alternativos y repositorios para apuntar revelará alguna superficie de ataque adicional para errores de confusión de dependencia”, escribió Birsan.

Fuentes: Gizmodo, Bleeping Computer