Автор: Уязвимость, обнаруженная исследователями безопасности в SonarSource, затрагивает Composer, основной инструмент, используемый для управления и установки зависимостей для PHP.
Сам Composer использует Packagist, онлайн-сервис для управления запросами пакетов PHP, в котором и была обнаружена ошибка.
SonarSource обнаружил уязвимость, позволяющую злоумышленникам выполнять произвольные системные команды на сервере Packagist. Это может быть использовано для получения учетных данных или для перенаправления запросов.
«Злоумышленник, изменив URL-адрес, связанный с пакетом symfony на другой, находящийся под его контролем, заставит Composer загрузить неправильный исходный код и тем самым развернет бэкдор злоумышленника на сервере, на котором запущен Composer» – сказал Томас Чошфоин, исследователь уязвимостей в SonarSource.
SonarSource считает, что уязвимость оставалась незамеченной в течение 10 лет, хотя в 2018 году исследователем Максом Юстичем была обнаружена уязвимость в том же коде.
«Его возможность использования во многом зависит от вызываемой команды», – пояснил Шошфоан. «Это очень легко упустить из виду, поскольку данные, контролируемые пользователем, часто уже правильно обработаны для защиты от других уязвимостей, связанных с инъекциями».
Общая популярность PHP использующих Composer, увеличивает риск, PHP работает на 80% веб-сайтов. По оценкам SonarSource, две трети проектов PHP используют Composer для управления своими зависимостями.
«По оценкам, общедоступная инфраструктура Packagist обслуживает около 100 миллионов запросов метаданных в месяц».
Теперь недостаток исправлен, и исследователи говорят, что риски, связанные с сайтами, использующими PHP, ограничены.
Однако, если вы предоставляете пользователям контроль над своим composer.json или используете внутренние API-интерфейсы VcsRepository или VcsDriver и производные, вам определенно следует перейти на Composer 1.10.22 и 2.0.13. Тем не менее веб-разработчики должны сохранять бдительность.
Если злоумышленник сможет взломать общий программный пакет, каждое последующее приложение, пытающееся использовать инструмент или программное обеспечение, будет затронуто.
Затем злоумышленник может использовать этот доступ для эксфильтрации данных, вызывающих крупномасштабное нарушение, или взломать базовую сеть, или, альтернативно, использовать ее в качестве базы для дальнейших атак.
Полную техническую информацию можно найти в сообщении блога SonarSource.
А на этом сегодня все, надеюсь, данная статья будет вам полезна.
Хотелось бы выразить огромную благодарность тем, кто принимает активное участие в жизни и развитии журнала, огромное спасибо вам за это.
Журнал Cyber-X
