کشف چند نقص زنجیره تامین در PyPI Package Repository پایتون
اخبار داغ فناوری اطلاعات و امنیت شبکه
تیم نگهداری Python Package Index (PyPI) هفته گذشته اصلاحات سه آسیب پذیری را منتشر کردند که یکی از آنها می تواند برای دستیابی به امکان اجرای کد دستوری دلخواه و کنترل کامل منبع نرم افزار رسمی ثالث مورد سواستفاده قرار گیرد.
ضعف های امنیتی توسط محقق امنیتی ژاپنی RyotaK کشف و گزارش شده است، که در گذشته آسیب پذیری های مهمی را در منبع Homebrew Cask و لایبرری CDNJS Cloudflare را گزارش کرده است. وی در مجموع مبلغ 3000 دلار به عنوان بخشی از برنامه دریافت جایزه برای گزارش اشکالات دریافت کرده است.
لیست سه آسیب پذیری مطرح شده، به شرح زیر می باشند:
۱. آسیب پذیری در حذف Legacy Document در PyPI: یک آسیب پذیری قابل استفاده در مکانیسم های حذف مستندات قدیمی که میزبانی ابزارهای استقرار در PyPI بر عهده دارند. این آسیب پذیری به مهاجمان اجازه می دهد اسناد پروژه هایی را که تحت کنترل آنها نیستند را حذف کنند.
۲. آسیب پذیری در Role Deletion در PyPI: یک آسیب پذیری قابل استفاده در مکانیزم های حذف Role ها در PyPI که توسط یک محقق امنیتی کشف شده است. این اسیب پذیری به مهاجم اجازه می دهد Role های پروژه هایی را که تحت کنترل آنها نیست را حذف کند.
۳. آسیب پذیری در فرایند کار GitHub Actions برای PyPI: یک آسیب پذیری قابل استفاده در فرایند کار GitHub Actions برای منبع اصلی PyPI که می تواند به مهاجم اجازه دهد تا مجوز نوشتن برای منبع pypa/warehouse را دریافت کند.
سوء استفاده موفقیت آمیز از این نقص ها می تواند به نحوه عملکرد endpoint API برای حذف مستندات قدیمی که با نام های پروژه ها به عنوان ورودی مربوط میشود و منجر به حذف خودسرانه فایل های اسناد پروژه ها شود. این آسیب پذیری هر کاربری را قادر می سازد تا با توجه به Role ID معتبر، هر نقشی را بدون چک شدن که مستلزم آن است که پروژه فعلی با پروژه ای که نقش مربوط به آن است مطابقت داشته باشد، حذف کند.
یک نقص مهمتر مربوط به مسئله ای در فرایند کار GitHub برای منبع اصلی PyPI به نام "combin-prs.yml" است، که منتج به سناریویی می شود که در آن مهاجم می تواند مجوز امکان نوشتن در شاخه اصلی منبع "pypa/warehouse" را دریافت نموده و در این فرایند کد مخرب را در pypi.org اجرا نماید.
محقق امنیتی، RyotaK خاطرنشان کرد: "آسیب پذیری های توصیف شده در این مقاله تأثیر قابل توجهی بر اکوسیستم پایتون دارند. همانطور که قبلاً چندین بار اشاره شده است، برخی از زنجیره های تأمین دارای آسیب پذیری های مهمی هستند. با این حال، تعداد محدودی از افراد در حال تحقیق در مورد حملات زنجیره تامین هستند و اکثر زنجیره های تأمین به درستی محافظت نمی شوند. بنابراین، اعتقاد بر این است که برای کاربران وابسته ضروری است در زنجیره تامین به طور فعال در ارتقاء امنیت در زنجیره تامین مشارکت داشته باشند.".
برچسب ها: API, pypa/warehouse, Role Deletion, Role, Legacy Document, RyotaK, پایتون, Python Package Index, PyPI, Python, Cloudflare, cybersecurity, Github, Vulnerability, امنیت سایبری, آسیب پذیری, Cyber Attacks, حمله سایبری