أوريتش لوسون
تسببت ثغرات لم يتم اكتشافها لمدة عقد من الزمان في جعل آلاف التطبيقات العاملة بنظامي التشغيل ماك أو إس وiOS عرضة لهجمات سلسلة التوريد. وقال باحثون يوم الاثنين إن القراصنة ربما أضافوا تعليمات برمجية خبيثة تعرض أمن ملايين أو مليارات الأشخاص الذين قاموا بتثبيتها للخطر.
كانت الثغرات الأمنية، التي تم إصلاحها في أكتوبر/تشرين الأول الماضي، موجودة في خادم “trunk” يستخدم لإدارة CocoaPods، وهو مستودع لمشاريع Swift وObjective-C مفتوحة المصدر والتي يعتمد عليها ما يقرب من 3 ملايين تطبيق لنظامي التشغيل macOS وiOS. عندما يقوم المطورون بإجراء تغييرات على أحد “pods” الخاصة بهم – لغة CocoaPods لحزم التعليمات البرمجية الفردية – فإن التطبيقات المعتمدة عادةً ما تدمجها تلقائيًا من خلال تحديثات التطبيق، وعادةً دون الحاجة إلى تفاعل من قبل المستخدمين النهائيين.
ثغرات حقن التعليمات البرمجية
وكتب باحثون من شركة EVA Information Security، التي اكتشفت الثغرة الأمنية، “يمكن للعديد من التطبيقات الوصول إلى المعلومات الأكثر حساسية للمستخدم: تفاصيل بطاقة الائتمان، والسجلات الطبية، والمواد الخاصة، والمزيد. إن حقن التعليمات البرمجية في هذه التطبيقات قد يمكّن المهاجمين من الوصول إلى هذه المعلومات لأي غرض خبيث يمكن تخيله تقريبًا – برامج الفدية، والاحتيال، والابتزاز، والتجسس على الشركات … وفي هذه العملية، قد يعرض الشركات لالتزامات قانونية كبرى ومخاطر تتعلق بسمعتها”.
تنبع الثغرات الأمنية الثلاث التي اكتشفتها EVA من آلية بريد إلكتروني غير آمنة تستخدم للتحقق من صحة هوية مطوري وحدات التخزين الفردية. حيث يقوم المطور بإدخال عنوان البريد الإلكتروني المرتبط بوحدته التخزينية. ويستجيب خادم الجذع بإرسال رابط إلى العنوان. وعندما ينقر شخص ما على الرابط، يحصل على حق الوصول إلى الحساب.
في إحدى الحالات، كان بإمكان المهاجم التلاعب بعنوان URL الموجود في الرابط لجعله يشير إلى خادم تحت سيطرة المهاجم. قبل الخادم XFH مزيفًا، وهو رأس HTTP لتحديد المضيف المستهدف المحدد في طلب HTTP. وجد باحثو EVA أنه يمكنهم استخدام XFH مزيف لإنشاء عناوين URL من اختيارهم.
في العادة، يحتوي البريد الإلكتروني على رابط صالح للنشر على خادم CocoaPods.org مثل:
تكبير / كيف يبدو البريد الإلكتروني للتحقق.
أمن المعلومات في شركة إيفا
يمكن للباحثين بدلاً من ذلك تغيير عنوان URL ليؤدي إلى خادمهم الخاص:
تكبير / التحقق من البريد الإلكتروني بعد التلاعب به.
أمن المعلومات في شركة إيفا
كانت هذه الثغرة، التي تم تتبعها باسم CVE-2024-38367، موجودة في فئة session_controller من كود مصدر الخادم الرئيسي، والتي تتعامل مع عنوان URL للتحقق من صحة الجلسة. تستخدم الفئة آلية session_controller.rb، التي تعطي الأولوية لـ XFH على رأس المضيف الأصلي. كان كود الاستغلال الذي استخدمه الباحثون هو:
POST /api/v1/sessions HTTP/1.1 المضيف: trunk.cococapods.org نوع المحتوى: application/json؛ مجموعة الأحرف=utf-8 مقبول: application/json؛ مجموعة الأحرف=utf-8 وكيل المستخدم: CocoaPods/1.12.1 قبول الترميز: gzip، deflate X-Forwarded-Host: research.evasec.io طول المحتوى: 78 { “email”:”research@evasec.io”, “name”:”EVAResearch”, “description”:null }
سمحت ثغرة منفصلة تم تتبعها باسم CVE-2024-38368 للمهاجمين بالسيطرة على وحدات تم التخلي عنها من قبل مطوريها ولكن لا تزال التطبيقات تستخدمها. ظلت واجهة برمجة تسمح للمطورين باستعادة وحداتهم نشطة لمدة 10 سنوات تقريبًا بعد تنفيذها لأول مرة. وجد الباحثون أن أي شخص يجد واجهة وحدة يتيمة يمكنه تنشيطها للسيطرة عليها، دون الحاجة إلى إثبات الملكية.
كان كل ما هو مطلوب هو طلب تجعيد بسيط يحتوي على اسم الجراب:
# طلب Curl لتغيير ملكية جراب يتيم مستهدف curl -X ‘POST’ \ -H ‘Host: trunk.cocoapods.org’ \ -H ‘Content-Type: application/x-www-form-urlencoded’ \ –data-binary ‘owner(name)=EVA&email=research@evasec.io’ –data-binary ‘pods()=(TARGET_UNCLAIMED_POD)&button=SEND’ ‘https://trunk.cocoapods.org/claims’
تسمح الثغرة الثالثة، CVE-2024-38366، للمهاجمين بتنفيذ التعليمات البرمجية على الخادم الرئيسي. يعتمد الخادم الرئيسي على RFC822 الذي تم إقراره رسميًا في عام 1982 للتحقق من تفرد عناوين البريد الإلكتروني للمطورين المسجلين والتحقق مما إذا كانت تتبع التنسيق الصحيح. يتضمن جزء من العملية فحص سجل MX لنطاق عنوان البريد الإلكتروني كما تم تنفيذه بواسطة تنفيذ RFC822 هذا.
