Exploiter pour exécuter du code sur des serveurs: Apple, Microsoft et PayPal également impliqués


Le chercheur en sécurité Alex Birsan a découvert une vulnérabilité qui lui a permis de exécuter du code sur des serveurs Apple, Microsoft, PayPal et plus de 30 autres sociétés. Cet exploit, bien qu’extrêmement simple, est quelque chose dont de nombreux développeurs de logiciels de premier plan devront trouver comment se protéger à l’avenir.

Pratiquement, vous permet de remplacer des packages privés par des packages publics. Lorsque les entreprises développent des programmes, elles utilisent souvent code open source écrit par des tiers, sans perdre de temps et de ressources à essayer de résoudre un problème déjà résolu. Par exemple, pour convertir des fichiers texte en pages Web en temps réel, vous pouvez utiliser un programme déjà disponible sur certains référentiels plutôt que de réécrire à nouveau le code nécessaire.

Ces programmes sont publics et généralement présents sur des référentiels tels que npm pour NodeJS, PyPi pour Python et RubyGems pour Ruby. Birsan a constaté que ces référentiels, mais pas seulement eux, pouvaient être utilisés pour mener ce type d’attaque.

En plus des packages publics, les entreprises créent souvent également leurs propres packages privés, qu’elles ne téléchargent pas dans des référentiels mais ne les distribuent que parmi leurs propres développeurs. Et c’est là que Birsan a trouvé l’exploit découvrant qu’en étant capable de retrouver les noms des packages privés utilisés par les entreprises (ce qui s’est avéré très facile dans la plupart des cas), il pouvait télécharger son code dans l’un des référentiels publics, du même nom, les faire utiliser par les systèmes automatisés des entreprises qui non seulement téléchargera ces packages au lieu des corrects, mais exécutera également le code qu’il contient.

Pour donner un exemple plus simple, imaginons que nous devions travailler sur un document Word sur notre ordinateur mais en essayant de l’ouvrir, nous recevons un message qui nous avertit que sur le Web, il y a un document avec le même nom qui sera ouvert à la place de les notres. Nous supposons également que ce document peut automatiquement apporter des modifications à notre ordinateur. Ce n’est en fait pas une chose rassurante.

Selon Birsan, la plupart des entreprises qu’il a contactées à propos de l’exploit ont été en mesure de corriger rapidement leurs systèmes afin de ne plus être vulnérables. Entre autres choses, Birsan a également déclaré que les récompenses reçues pour avoir signalé cet exploit via les programmes “bounties” étaient parmi les plus élevées autorisées (Google a payé 6,7 millions de dollars en 2020 pour son programme, par exemple).

Heureusement, cet exploit ne nécessite pas de mises à jour immédiates pour les utilisateurs mais cela occupera sûrement les administrateurs système pendant quelques jours car ils doivent changer la façon dont le code public est utilisé par leurs entreprises.