O pesquisador de segurança Alex Birsan descobriu uma vulnerabilidade que lhe permitiu executar o código em servidores de propriedade da Apple, Microsoft, PayPal e mais de 30 outras empresas (Através Computador dormindo) A exploração também é enganosamente simples, algo de que muitos grandes desenvolvedores de software precisam saber como se proteger.
O exploit aproveita um truque relativamente simples: substituir pacotes privados por públicos. Quando as empresas criam software, geralmente usam código-fonte aberto escrito por outras pessoas, de modo que não gastam tempo e recursos resolvendo um problema que já foi resolvido. Por exemplo, trabalhei em sites que tinham que converter arquivos de texto em páginas da web em tempo real. Em vez de escrever código para fazermos nós mesmos, minha equipe encontrou um programa que o fez e o incorporou em nosso site.
Esses softwares disponíveis publicamente podem ser encontrados em repositórios como npm para NodeJS, PyPi para Python e RubyGems para Ruby. É importante notar que Pirsan descobriu que esses armazéns podem ser usados para realizar este ataque, mas não se limita a apenas três.
Além desses pacotes públicos, as empresas costumam criar seus próprios pacotes, que não baixam, mas distribuem entre seus desenvolvedores. Foi aqui que Pirsan encontrou a brecha. Descubra se ele consegue encontrar os nomes dos pacotes privados que as empresas usam (uma tarefa que acaba sendo muito fácil na maioria dos casos), ele pode fazer upload de seu código para um repositório público com o mesmo nome, e as empresas usarão sistemas automatizados com seu código. Eles não apenas baixarão o pacote em vez do correto, mas também executarão o código dentro dele.
Para explicar isso com um exemplo, imagine que você tem um documento do Word no seu computador, mas quando você vai abri-lo, o seu computador diz: “Ei, há outro documento do Word na Internet com o mesmo nome. Vou abri-lo em vez de.” Agora imagine que um documento do Word possa fazer alterações automaticamente no seu computador. Não é uma boa situação.
As empresas parecem concordar que o problema é sério. Em sua posição na média, Pearsan escreveu que “a maioria das recompensas infundadas atribuídas é definida para o máximo permitido pela política de cada programa, às vezes mais alto.” Para quem não conhece, as Recompensas de Falha são recompensas monetárias que as empresas pagam às pessoas que encontram erros graves. Quanto mais grave o erro, mais eles pagarão.
De acordo com Pearsan, a maioria das empresas que contatei sobre o exploit foi capaz de corrigir rapidamente seus sistemas para que não ficassem vulneráveis. A Microsoft ainda Faça uma folha de papel branca Explicar como os administradores de sistema podem proteger suas empresas contra esses tipos de ataques, mas é francamente surpreendente que alguém tenha demorado tanto para descobrir que essas grandes empresas eram vulneráveis a esse tipo de ataque. Felizmente, esse não é o tipo de história que acaba tendo que atualizar todos os dispositivos em sua casa imediatamente, mas parece que será uma longa semana para administradores de sistema que agora têm que mudar a forma como sua empresa usa o código genérico.