25 марта US-СERT опубликовал уязвимость в менеджере пакетов npm, не ограничивающем действия злонамеренных npm-пакетов, или на простом языке nmp manager позволял обновлять ПО без согласования автора. Вот просто обновляя модули (зависимости), на которые это ПО ссылается.
Это примерно как если бы у каждого закона был автор, и можно было бы вносить изменения в Уголовный кодекс захватив ПК автора закона. Вот такая вот системная уязвимость, позволяющая сделать nmp-червя. И администрация проекта npm уже заявила, что у нее нет ресурсов проверять весь код и она надеется... на помощь сообщества. Т.е. на удачу.
Но почему это важно? Очередной XYZ-червь, да и черт бы с ним. Однако, npm используется при разработке проектов на Node.js - одной из наиболее популярных платформ для разработки интерфейсов на JavaScript. Например, 23 марта перенос функции leftpad с npm на другой ресурс (github) привел к сбоям в работе миллионов сайтов, и помог только откат изменений назад.
В итоге мы имеем потенциально бесконтрольное внесение изменений затрагивающее интерфейсы миллионов сайтов. А это рай для поддельных сайтов, атак на бренд и возможно CSRF атак.
А ведь подобный "рай" для злоумышленников может быть и в корпоративном периметре. Проверяли ли Вы безопасность поддерживающих разработку систем? Как там с патчами, парольной политикой, бекапами? Разделением среды разработки, тестовой и продуктивной сред? Проверяется ли код что бы выявлять в том числе такие опасные зависимости - которые разработчики привыкли использовать "потому что так все делают"?:)
Разработка приложений приходит в те компании, которые раньше ориентировась на покупной софт, и становится еще одной точкой отказа, а в случае централизованной разработки - и ключевой точкой отказа. И системы поддержки разработки иногда нужно защищать не меньше классических критических систем - ERP, CRM, SCM. А то и больше, если это, например, Сбербанк\ФНС и разрабатывается ЕФС\АИС Налог-3 от которых так или иначе зависит примерно вся страна.
Это примерно как если бы у каждого закона был автор, и можно было бы вносить изменения в Уголовный кодекс захватив ПК автора закона. Вот такая вот системная уязвимость, позволяющая сделать nmp-червя. И администрация проекта npm уже заявила, что у нее нет ресурсов проверять весь код и она надеется... на помощь сообщества. Т.е. на удачу.
Но почему это важно? Очередной XYZ-червь, да и черт бы с ним. Однако, npm используется при разработке проектов на Node.js - одной из наиболее популярных платформ для разработки интерфейсов на JavaScript. Например, 23 марта перенос функции leftpad с npm на другой ресурс (github) привел к сбоям в работе миллионов сайтов, и помог только откат изменений назад.
В итоге мы имеем потенциально бесконтрольное внесение изменений затрагивающее интерфейсы миллионов сайтов. А это рай для поддельных сайтов, атак на бренд и возможно CSRF атак.
А ведь подобный "рай" для злоумышленников может быть и в корпоративном периметре. Проверяли ли Вы безопасность поддерживающих разработку систем? Как там с патчами, парольной политикой, бекапами? Разделением среды разработки, тестовой и продуктивной сред? Проверяется ли код что бы выявлять в том числе такие опасные зависимости - которые разработчики привыкли использовать "потому что так все делают"?:)
Разработка приложений приходит в те компании, которые раньше ориентировась на покупной софт, и становится еще одной точкой отказа, а в случае централизованной разработки - и ключевой точкой отказа. И системы поддержки разработки иногда нужно защищать не меньше классических критических систем - ERP, CRM, SCM. А то и больше, если это, например, Сбербанк\ФНС и разрабатывается ЕФС\АИС Налог-3 от которых так или иначе зависит примерно вся страна.
Комментариев нет:
Отправить комментарий