Analýza hotových balíkov umiestnených v úložisku NuGet odhalila 51 jedinečných softvérových komponentov, ktoré sú zraniteľné voči aktívne využívaným, vysoko závažným zraniteľnostiam, čo opäť zdôrazňuje hrozbu, ktorú predstavujú závislosti tretích strán na procese vývoja softvéru.
Vzhľadom na rastúci počet kybernetických incidentov, ktoré sa zameriavajú na dodávateľský reťazec softvéru, existuje naliehavá potreba posúdiť takéto moduly tretích strán z hľadiska akýchkoľvek bezpečnostných rizík a minimalizovať povrch útoku, uviedol výskumník ReversingLabs Karlo Zanki v správe zdieľanej s The Hacker. Správy.
NuGet je mechanizmus podporovaný spoločnosťou Microsoft pre platformu .NET a funguje ako správca balíkov, ktorý umožňuje vývojárom zdieľať opätovne použiteľný kód. Rámec spravuje centrálne úložisko viac ako 264 000 jedinečných balíkov, ktoré spolu vytvorili viac ako 109 miliárd stiahnutí balíkov.
“Všetky identifikované predkompilované softvérové komponenty v našom výskume boli rôzne verzie programov 7Zip, WinSCP a PuTTYgen, programy, ktoré poskytujú komplexnú kompresiu a sieťové funkcie,” vysvetlil Zanki. “Sú priebežne aktualizované, aby sa zlepšila ich funkčnosť a aby sa riešili známe bezpečnostné chyby. Niekedy sa však stáva, že sa aktualizujú aj iné softvérové balíky, ale stále používajú niekoľko rokov staré závislosti obsahujúce známe zraniteľnosti.”
V jednom prípade sa zistilo, že „WinSCPHelper“ – knižnica na správu súborov na vzdialenom serveri, ktorá bola stiahnutá viac ako 35 000-krát – používa starú a zraniteľnú verziu WinSCP. 5.11.2, zatiaľ čo verzia WinSCP 5.17.10 vydaný začiatkom januára tohto roka rieši kritickú svojvoľnú chybu vykonávania (CVE-2021-3331), čím vystavuje používateľov balíka tejto zraniteľnosti.
Okrem toho výskumníci zistili, že viac ako 50 000 softvérových komponentov extrahovaných z balíkov NuGet bolo staticky prepojených so zraniteľnou verziou knižnice na kompresiu údajov „zlib“, čím boli vystavené riziku niekoľkých známych bezpečnostných problémov, ako napríklad CVE-2016-9840, CVE-2016. -9841, CVE-2016-9842 a CVE-2016-9843.
Niektoré z balíkov, u ktorých bola pozorovaná chyba zabezpečenia zlib, sú „DicomObjects“ a „librdkafka.redist“, pričom každý z nich bol stiahnutý najmenej 50 000 a 18.2 miliónkrát. Ešte znepokojujúcejšie je, že „librdkafka.redist“ je uvedený ako závislosť niekoľkých ďalších populárnych balíkov, vrátane .NET klienta spoločnosti Confluent pre Apache Kafka (Confluent.Kafka), ktorých bolo stiahnutých viac ako 17.6 doteraz miliónkrát.
„Spoločnosti vyvíjajúce softvérové riešenia si musia tieto riziká viac uvedomovať a musia sa viac zapojiť do ich riešenia,“ povedal Zanki. “Vstupy aj konečné výstupy procesu vývoja softvéru musia byť skontrolované z hľadiska falšovania a problémov s kvalitou kódu. Transparentný vývoj softvéru je jedným zo základných kameňov potrebných na včasnú detekciu a prevenciu útokov na dodávateľský reťazec softvéru.”
