Yaklaşık dokuz yıldır iPhone, Mac ve Co. için milyonlarca uygulamada kullanılan popüler bağımlılık yönetimi aracı CocoaPods'ta ciddi sorunların yaşandığı söyleniyor. Güvenlik tedarikçisi Eva Security'nin BT araştırmacıları Pazartesi günü yayınlanan yeni bir makalede bunu rapor ediyor. Edinilen bilgiye göre, en azından teorik olarak, saldırganlar (CocoaPods jargonunda “pod” olarak adlandırılan) kütüphaneleri neredeyse istedikleri gibi ele geçirebilir ve bunları kötü amaçlı yazılım yüklemek için kullanabilirdi. Bu, tedarik zincirine yönelik derin saldırıları mümkün kılacaktı.
Duyuru
Sahipsiz ve devralınmaya hazır sayısız kütüphane
CocoaPods, 100.000'den fazla kütüphaneyi bir araya getiren ve yaratıcılara göre “3 milyondan fazla uygulamada” yer alan açık kaynaklı bir projedir. Araç, “CocoaPods projenizi zarif bir şekilde ölçeklendirmenize yardımcı olur” diye tanıtılıyor. Ruby tabanlı Bağımlılık Yöneticisi Swift ve Objective-C projelerine yöneliktir. Eva Security, 2014 yılında CocoaPod'ların tüm bölmeleri GitHub'daki yeni bir “ana hat sunucusuna” taşıdığını keşfetti. Her kitaplığın yazarları basitçe sıfırlandı. CocoaPods daha sonra geliştiricilerden ilgili kitaplıklarını “talep etmelerini” istedi.
Ancak herkes bunu yapmadı. Şu anda 1870 kadar kapsülün hala “?” adında bir sahibi var, yani tamamen sahipsizler. Satın almayla birlikte bu kitaplıklardan birini kullanan bir Swift veya Objective-C projesine kod eklemek mümkün oldu. Eva Security, olayı CVE ID 2024-38368 ile bildirdi ve 9,3 gibi yüksek bir CVSS puanı buldu. (En kötü güvenlik açıkları 10 puana ulaşır.)
Boşluk kapandı, kontrol daha iyi
Saldırının uygulanması çok basitti: Bir bölmeyi ele geçirmek için saldırganın yalnızca bir CURL isteği yapması yeterliydi. Kitaplık daha sonra kötü amaçlı yazılım veya başka bir kodla donatılabilir ve bu da kitaplığı CocoaPod'lar aracılığıyla kullanan uygulamalara dönüşür. CocoaPod'ların kullanımı yalnızca küçük geliştiricileri değil, Eva Secruity'ye göre Amazon, Microsoft, TikTok, Meta ve hatta Apple'ın kendisi gibi büyük isimleri de etkiliyor. Tedarik zinciri saldırılarının gerçekten bu rota üzerinden gerçekleşip gerçekleşmediğini söylemek şu anda mümkün değil. Ancak bu düşünülebilir. Eva Security, sorunu CocoaPod'ların analizi yoluyla değil, bir müşteriyle yapılan kırmızı ekip deneyleri sırasında keşfetti.
Tedarik zinciri saldırısına ek olarak, güvenlik araştırmacıları aynı CocoaPods ana sunucusunda, savunmasız bir Ruby paketi aracılığıyla uzaktan kod yürütülmesine ve kaynak kodunda keşfedilen bir kusur aracılığıyla oturum çerezlerinin çalınmasına izin veren iki sorun daha keşfetti. İlgilenen geliştiricilerin öncelikle hangi paketleri kullandıklarını kontrol etmeleri ve ardından kullanılan üçüncü taraf kütüphaneleri manuel olarak doğrulamaları gerekir. 1870 kapsülden herhangi birinin sahibi olmadan bulunması halinde kütüphanenin acilen kaldırılması gerekiyor. Ana sunucudaki boşlukların ve kapsüllerin kolayca teslim alınabilmesinin Ekim 2023'te CocoaPods projesi tarafından doldurulacağı söyleniyor.
(bsc)
Duyuru
Sahipsiz ve devralınmaya hazır sayısız kütüphane
CocoaPods, 100.000'den fazla kütüphaneyi bir araya getiren ve yaratıcılara göre “3 milyondan fazla uygulamada” yer alan açık kaynaklı bir projedir. Araç, “CocoaPods projenizi zarif bir şekilde ölçeklendirmenize yardımcı olur” diye tanıtılıyor. Ruby tabanlı Bağımlılık Yöneticisi Swift ve Objective-C projelerine yöneliktir. Eva Security, 2014 yılında CocoaPod'ların tüm bölmeleri GitHub'daki yeni bir “ana hat sunucusuna” taşıdığını keşfetti. Her kitaplığın yazarları basitçe sıfırlandı. CocoaPods daha sonra geliştiricilerden ilgili kitaplıklarını “talep etmelerini” istedi.
Ancak herkes bunu yapmadı. Şu anda 1870 kadar kapsülün hala “?” adında bir sahibi var, yani tamamen sahipsizler. Satın almayla birlikte bu kitaplıklardan birini kullanan bir Swift veya Objective-C projesine kod eklemek mümkün oldu. Eva Security, olayı CVE ID 2024-38368 ile bildirdi ve 9,3 gibi yüksek bir CVSS puanı buldu. (En kötü güvenlik açıkları 10 puana ulaşır.)
Boşluk kapandı, kontrol daha iyi
Saldırının uygulanması çok basitti: Bir bölmeyi ele geçirmek için saldırganın yalnızca bir CURL isteği yapması yeterliydi. Kitaplık daha sonra kötü amaçlı yazılım veya başka bir kodla donatılabilir ve bu da kitaplığı CocoaPod'lar aracılığıyla kullanan uygulamalara dönüşür. CocoaPod'ların kullanımı yalnızca küçük geliştiricileri değil, Eva Secruity'ye göre Amazon, Microsoft, TikTok, Meta ve hatta Apple'ın kendisi gibi büyük isimleri de etkiliyor. Tedarik zinciri saldırılarının gerçekten bu rota üzerinden gerçekleşip gerçekleşmediğini söylemek şu anda mümkün değil. Ancak bu düşünülebilir. Eva Security, sorunu CocoaPod'ların analizi yoluyla değil, bir müşteriyle yapılan kırmızı ekip deneyleri sırasında keşfetti.
Tedarik zinciri saldırısına ek olarak, güvenlik araştırmacıları aynı CocoaPods ana sunucusunda, savunmasız bir Ruby paketi aracılığıyla uzaktan kod yürütülmesine ve kaynak kodunda keşfedilen bir kusur aracılığıyla oturum çerezlerinin çalınmasına izin veren iki sorun daha keşfetti. İlgilenen geliştiricilerin öncelikle hangi paketleri kullandıklarını kontrol etmeleri ve ardından kullanılan üçüncü taraf kütüphaneleri manuel olarak doğrulamaları gerekir. 1870 kapsülden herhangi birinin sahibi olmadan bulunması halinde kütüphanenin acilen kaldırılması gerekiyor. Ana sunucudaki boşlukların ve kapsüllerin kolayca teslim alınabilmesinin Ekim 2023'te CocoaPods projesi tarafından doldurulacağı söyleniyor.
(bsc)