Nhóm nghiên cứu của EVA Information Security (công ty an ninh mạng và kiểm thử tại Israel), cho biết đã phát hiện lỗi trong Cocoapods, trình quản lý phụ thuộc (Dependency Manager) được sử dụng rộng rãi cho các dự án phần mềm được mã hóa bằng ngôn ngữ lập trình Swift và Objective-C. Dependency Manager là công cụ quan trọng trong quá trình phát triển phần mềm, cho phép xác thực và ký mã hóa các gói phần mềm. Do đó, việc một công cụ như vậy gặp vấn đề sẽ tác động xấu đến nhiều phần của phần mềm hoặc web. Công ty cũng cho biết ba lỗ hổng này đã được CocoaPods vá kể từ tháng 10/2023.
Một trong ba lỗ hổng này có mã định danh là CVE-2024-38368 (điểm CVSS: 9.3), cho phép kẻ tấn công lạm dụng quy trình "Claim Your Pods" và chiếm quyền kiểm soát gói (package), dẫn đến việc can thiệp vào mã nguồn và thực hiện những thay đổi độc hại. Tuy nhiên, điều này yêu cầu tất cả những người bảo trì trước đó phải bị xóa khỏi dự án.
Nguồn gốc của vấn đề bắt nguồn từ năm 2014, khi quá trình chuyển đổi (migration) sang máy chủ Trunk đã khiến hàng nghìn package không rõ chủ sở hữu (hoặc chưa được xác nhận), cho phép kẻ tấn công sử dụng API công khai để xác nhận chủ sở hữu các pod và địa chỉ email có trong mã nguồn CocoaPods ("unclaimed-pods@cocoapods.org") để chiếm quyền kiểm soát.
Lỗ hổng thứ hai thậm chí còn nghiêm trọng hơn (có mã định danh là CVE-2024-38366, điểm CVSS: 10.0), cho phép kẻ tấn công lợi dụng quy trình xác minh email không an toàn để thực thi mã tùy ý trên máy chủ Trunk, sau đó có thể được sử dụng để thao túng hoặc thay thế các package.
Lỗ hổng thứ 3 cũng được phát hiện trong thành phần xác minh địa chỉ email của dịch vụ này (có mã định danh là CVE-2024-38367, điểm CVSS: 8,2), có thể bị khai thác để đánh lừa người nhận truy cập vào liên kết xác minh trông có vẻ vô hại, nhưng thực tế, nó chuyển hướng yêu cầu đến miền do kẻ tấn công kiểm soát để có quyền truy cập vào mã xác thực phiên của nhà phát triển.
Nguy hiểm hơn, điều này có thể được nâng cấp thành cuộc tấn công chiếm đoạt tài khoản không cần nhấp chuột bằng cách giả mạo tiêu đề HTTP - tức là sửa đổi trường tiêu đề X-Forwarded-Host - và lợi dụng các công cụ bảo mật email được cấu hình không an toàn.
Với việc nhiều ứng dụng có quyền truy cập vào thông tin nhạy cảm của người dùng như thẻ tín dụng, hồ sơ y tế, tài liệu riêng tư, hacker có thể lợi dụng lỗ hổng, cài ransomware hoặc các loại mã độc khác để thu thập chúng.
Cũng theo nhóm nghiên cứu, Apple là "trung tâm của mớ hỗn độn" khi đa số ứng dụng iOS và macOS đều được mã hóa bằng ngôn ngữ Swift và Objective-C, gồm cả những cái tên phổ biến như TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger. Do đó, hàng nghìn ứng dụng trên các nền tảng này có thể bị ảnh hưởng và "một cuộc tấn công vào hệ sinh thái ứng dụng di động có thể lây nhiễm cho hầu hết thiết bị của Apple, khiến hàng nghìn tổ chức dễ bị tổn thương về mặt tài chính và danh tiếng".
Bá Phúc
(Theo thehackernews)
07:00 | 10/09/2024
14:00 | 02/07/2024
10:00 | 28/06/2024
14:00 | 08/07/2024
14:00 | 05/08/2024
14:00 | 07/10/2024
07:00 | 17/10/2024
Các tin tặc Triều Tiên mới đây đã bị phát hiện đang phân phối một Trojan truy cập từ xa (RAT) và backdoor chưa từng được ghi nhận trước đây có tên là VeilShell, như một phần của chiến dịch tấn công mạng nhắm vào các cơ quan, tổ chức tại Campuchia và các quốc gia Đông Nam Á khác.
16:00 | 19/09/2024
Dưới đây là góc nhìn chuyên môn của các chuyên gia bảo mật Kaspersky về vụ việc của Crowdstrike và dự án XZ Utils, cùng chiến lược mà các tổ chức có thể áp dụng để ứng phó với các cuộc tấn công chuỗi cung ứng.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
14:00 | 22/08/2024
Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.
Ngày 30/10, nền tảng LottieFiles đã phát đi cảnh báo về cuộc tấn công chuỗi cung ứng nhắm vào gói npm "lottie-player" của họ. Kẻ tấn công đã lén lút cài mã độc vào các phiên bản mới của gói này nhằm chiếm đoạt tiền điện tử từ ví của người dùng.
07:00 | 07/11/2024