Threats

Investigador de cibersegurança descobre vulnerabilidade que permite correr código indesejado em servidores

Alex Birsan descobriu uma vulnerabilidade de segurança que permite correr códigos em servidores detidos por várias empresas, como Microsoft e Apple

15/02/2021

Investigador de cibersegurança descobre vulnerabilidade que permite correr código indesejado em servidores

O investigador de segurança Alex Birsan encontrou uma vulnerabilidade de segurança que lhe permitiu executar código em servidores detidos pela Apple, Microsoft, PayPal e mais de 30 outras empresas. O exploit também é simples, e é algo que muitos developers de software terão de descobrir como se proteger.

O exploit aproveita um truque relativamente simples: substituir pacotes privados por públicos. Quando as empresas estão a criar programas, muitas vezes usam código-fonte aberto escrito por outras pessoas, não gastando tempo e recursos resolvendo um problema que já foi resolvido.

Estes programas publicamente disponíveis podem ser encontrados em repositórios como NPM para NodeJS, PyPi para Python e RubyGems para Ruby. No entanto, não são apenas estes repositórios que podem ser utilizados para levar a cabo o ataque.

Além destes pacotes públicos, as empresas costumam criar os seus próprios pacotes privados, que não carregam, mas sim distribuem entre os seus próprios colaboradores. Birsan descobriu que se pudesse encontrar os nomes dos pacotes privados usados pelas empresas (uma tarefa que acabou por ser muito fácil na maioria dos casos), poderia enviar o seu próprio código para um dos repositórios públicos com o mesmo nome, e os sistemas automatizados utilizaram o seu código em vez do que tentavam partilhar.


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.