Lỗ hổng nghiêm trọng khiến các ứng dụng iOS và macOS có nguy cơ bị tấn công chuỗi cung ứng

0
0

- Ba lỗ hổng bảo mật được phát hiện trong ứng dụng quản lý thư viện CocoaPods cho các dự án Cocoa Swift và Objective-C có thể bị khai thác để tiến hành các cuộc tấn công chuỗi cung ứng phần mềm, gây ra rủi ro nghiêm trọng đối với người dùng cuối.

Các nhà nghiên cứu Reef Spektor và Eran Vaknin của EVA Information Security cho biết rằng "các lỗ hổng bảo mật cho phép bất kỳ kẻ xấu nào tuyên bố quyền sở hữu đối với hàng nghìn pod chưa được xác nhận và chèn mã độc vào nhiều ứng dụng iOS và macOS phổ biến nhất".

Tuy nhiên, công ty bảo mật cho biết, ba vấn đề này đã được CocoaPods giải quyết vào tháng 10 năm 2023.

Một trong số này là CVE-2024-38368 (điểm CVSS: 9.3), cho phép kẻ tấn công lạm dụng quy trình "Claim Your Pods" và chiếm quyền kiểm soát gói (package), dẫn đến việc can thiệp vào mã nguồn và thực hiện những thay đổi độc hại. Tuy nhiên, điều này yêu cầu tất cả những người bảo trì trước đó phải bị xóa khỏi dự án.

Nguồn gốc của vấn đề bắt nguồn từ năm 2014, khi quá trình chuyển đổi (migration) sang máy chủ Trunk đã khiến hàng nghìn package không rõ chủ sở hữu (hoặc chưa được xác nhận), cho phép kẻ tấn công sử dụng API công khai để xác nhận chủ sở hữu các pod và địa chỉ email có trong mã nguồn CocoaPods ("unclaimed-pods@cocoapods.org") để chiếm quyền kiểm soát.

Ảnh minh họa
Ảnh minh họa

Lỗi thứ hai thậm chí còn nghiêm trọng hơn (CVE-2024-38366, điểm CVSS: 10.0), cho phép kẻ tấn công lợi dụng quy trình xác minh email không an toàn để thực thi mã tùy ý trên máy chủ Trunk, sau đó có thể được sử dụng để thao túng hoặc thay thế các package.

Lỗ hổng thứ 3 cũng được phát hiện trong thành phần xác minh địa chỉ email của dịch vụ này (CVE-2024-38367, điểm CVSS: 8,2), có thể bị khai thác để lừa người nhận nhấp vào liên kết xác minh trông có vẻ vô hại, nhưng thực tế, nó chuyển hướng yêu cầu đến miền do kẻ tấn công kiểm soát để có quyền truy cập vào mã xác thực phiên của nhà phát triển.

Nguy hiểm hơn, điều này có thể được nâng cấp thành cuộc tấn công chiếm đoạt tài khoản không cần nhấp chuột bằng cách giả mạo tiêu đề HTTP - tức là sửa đổi trường tiêu đề X-Forwarded-Host - và lợi dụng các công cụ bảo mật email được cấu hình không an toàn.

Các nhà nghiên cứu cho biết: "Chúng tôi phát hiện ra rằng hầu hết mọi chủ sở hữu pod đều đăng ký email tổ chức của họ trên máy chủ Trunk, điều này khiến họ dễ bị tấn công bởi lỗ hổng chiếm quyền điều khiển không cần nhấp chuột".

Trước đó, vào tháng 3 năm 2023, Checkmarx tiết lộ rằng một tên miền phụ bị bỏ quên liên quan đến ứng dụng quản lý thư viện ("cdn2.cocoapods[.]org") có thể đã bị kẻ tấn công chiếm đoạt thông qua GitHub Pages với mục đích lưu trữ các payload của chúng.

PV (theo thehackernews.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.