Swift 和 Objective-C Cocoa 项目的CocoaPods依赖管理器中发现了三个安全漏洞,可能被利用来发起软件供应链攻击,使下游客户面临严重风险。
EVA 信息安全研究人员 Reef Spektor 和 Eran Vaknin在今天发布的一份报告(https://www.evasec.io/blog/eva-discovered-supply-chain-vulnerabities-in-cocoapods)中表示,这些漏洞允许“任何恶意攻击者声称拥有数千个无人认领的 pod,并将恶意代码插入许多最受欢迎的 iOS 和 macOS 应用程序中”。
这家以色列应用安全公司表示,截至 2023 年 10 月,这三个漏洞已被CocoaPods修补。为了应对这些披露,它还重置了当时的所有用户会话。
其中一个漏洞是 CVE-2024-38368(CVSS 评分:9.3),攻击者可以利用该漏洞滥用“ Claim Your Pods ”流程并控制软件包,从而有效地篡改源代码并引入恶意更改。但是,这需要所有先前的维护者都已从项目中移除。
问题的根源可以追溯到 2014 年,当时迁移到Trunk 服务器时留下了数千个所有者不明(或无人认领)的软件包,这允许攻击者使用公共 API 来认领 pod 以及 CocoaPods 源代码中提供的电子邮件地址(“unclaimed-pods@cocoapods.org”)来接管控制权。
第二个漏洞更为严重(CVE-2024-38366,CVSS 评分:10.0),它利用不安全的电子邮件验证工作流程在 Trunk 服务器上运行任意代码,然后可用于操纵或替换软件包。
该服务中还发现了电子邮件地址验证组件中的第二个问题(CVE-2024-38367,CVSS 评分:8.2),该问题可能会诱使收件人点击看似无害的验证链接,而实际上,它会将请求重新路由到攻击者控制的域以获取对开发人员会话令牌的访问权限。
更糟糕的是,通过欺骗 HTTP 标头(即修改X-Forwarded-Host标头字段)并利用配置错误的电子邮件安全工具,这可以升级为零点击帐户接管攻击。
研究人员表示:“我们发现几乎每个 pod 所有者都在 Trunk 服务器上注册了他们的组织电子邮件,这使得他们容易受到我们的零点击接管漏洞的攻击。”
这并不是 CocoaPods 第一次受到关注。2023 年 3 月,Checkmarx透露,与依赖项管理器关联的废弃子域(“cdn2.cocoapods[.]org”)可能已被攻击者通过 GitHub Pages 劫持,目的是托管他们的有效载荷。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/JKVTO7h2qdZ8aNLr6m-rSg
封面来源于网络,如有侵权请联系删除
