この研究者は、Microsoft、Tesla、Netflixを含む35の主要なテクノロジー企業にハッキングしました

ルーマニアの脅威研究者であるAlexBirsanは、最近、数十の主要なテクノロジー企業のITシステムに巧みに侵入し、13万ドル以上を稼ぎ出しました。

Birsanは、単一の革新的なサプライチェーン攻撃を使用して、Tesla、Netflix、Microsoft、Apple、Paypal、Uber、Yelp、および少なくとも30の他の企業を侵害し ました。その過程で、研究者は大きな脆弱性を露呈し、複数の脆弱性報奨金を介して多額の収益を上げました。企業がオンライン防御のテストに成功した「ホワイトハット」ハッカーに支払う料金です。

ビルサンがどのようにそれをしたかはかなり興味深いです。これには、開発プロジェクトのコード、特に依存関係の操作が含まれます。これは、プログラムを正常に実行するために使用される特定の拡張コードです。Threatpostは、この攻撃により、「GitHubなどのサイトの公開リポジトリを通常使用する開発者プロジェクトに依存関係をインストールするための一般的なツールに悪意のあるコードが挿入される」と述べています。次に、悪意のあるコードはこれらの依存関係を使用して、標的となる企業の内部アプリケーションおよびシステムを介してマルウェアを伝播します。」

これはすべてかなり複雑ですが、基本的に、Birsanは、「内部またはクラウドベースのビルドサーバーの設定ミス」や「とりわけ、システム的に脆弱な開発パイプライン」。 Birsanはまた、開発中に企業が使用する自動ビルドツールが、パッケージの名前が同じである場合、このパブリックコードを内部コードと「間違える」ことがあることを発見しました 。

その結果、BleepingComputerによると、攻撃者は「マルウェアをオープンソースリポジトリに」アップロードし、それが自動的に企業のシステムに侵入する可能性があります。。これらの悪質な、偽造コードパッケージは、悪人が任意のコードを実行できるようになるか、追加するために使用することができ、「ビルドプロセス中に、影響を受けたプロジェクト(S)の内部バックドアを、」Birsanは言った では、最近のランダウンはYelpが影響を受けていたかの。

たとえば Paypalは、 Birsanの発見についてのメモを公開し、その事件で何が起こったのかを説明しました。

Birsanは、この脆弱性を「依存関係の混乱」と呼んでいます。最近のブログ投稿で、 「テストされた3つのプログラミング言語すべてで、これまでに35を超える組織内で検出されました。影響を受ける企業の大多数は1000人以上の従業員のカテゴリに分類されます。これは、大規模な組織内での内部ライブラリの使用率が高いことを反映している可能性があります。」は、このエクスプロイトには「自動ビルドツールまたはインストールツールの脆弱性または設計上の欠陥が含まれているため、パブリック依存関係がまったく同じ名前の内部依存関係と間違われる可能性がある」ことをBleepingComputerに明らかにしました。

ビルサンが昨年この戦略を活用し始めたとき、セキュリティ会社のソナタイプは送信したパッケージにマルウェアのフラグを立て始めたと同社は最近報告したが、ビルサンはすぐに連絡を取り、進行中の調査について通知し、脆弱性に関する公式の開示は2021年に予定されています。

Birsanの成功したハッキン​​グは、彼に複数のバグの報奨金と多くの大規模なテクノロジー企業の感謝をもたらしました。

「この調査の対象となったすべての組織が、公的な脆弱性報奨金プログラムまたは私的な合意を通じて、セキュリティをテストする許可を与えていることを明確にすることが重要だと感じています。この種のテストを許可なく試みないでください」と Birsanはブログ投稿に 書いてい ます。

以前にBitdefenderでPythonエンジニア として働き、過去3年間自営業のITセキュリティコンサルタントとして過ごしたBirsanは、彼が発見したこのタイプの脆弱性は、将来さらに大きな問題になる可能性があるとさらに指摘しました。

「内部パッケージ名をリークする新しい巧妙な方法を見つけると、さらに脆弱なシステムが明らかになり、ターゲットとする代替プログラミング言語とリポジトリを調べると、依存関係の混乱のバグに対する追加の攻撃対象領域が明らかになると思います」と Birsanは書いてい ます。

提案された投稿

AppleはiOS9用のGoogleNowの代替品を作成している可能性があります

AppleはiOS9用のGoogleNowの代替品を作成している可能性があります

2015年のiPhoneの大きなソフトウェアバージョンは驚くほど鈍いようです。セキュリティと安定性は常に良いことですが、iOS9はイメージチェンジよりもメンテナンスに重点を置いているように見えました。

Nerfの最新のライバルブラスターがすべてのポンプで2回の70MPHラウンドを発射

Nerfの最新のライバルブラスターがすべてのポンプで2回の70MPHラウンドを発射

昨年のおもちゃフェアで最初に発表されたNerfは、今年1月に復活させた全自動のKHAOS MXVI-4000でライバルラインを拡大し、今ではターゲットに2ラウンド発射するポンプアクションATLASXVI-1200を使用しています。トリガーのすべてのスクイーズ。70ドルのKHAOSMXVI-4000が2016年のNerfのプレミアムライバルブラスター製品であるのに対し、40ドルのATLASXVI-1200はより手頃なオプションです。

関連記事

レクサスはあなたのブラックアウトされたナビゲーションスクリーンのための修正を持っています、しかしあなたはディーラーに行かなければなりません

レクサスはあなたのブラックアウトされたナビゲーションスクリーンのための修正を持っています、しかしあなたはディーラーに行かなければなりません

写真提供者:ニュースプレス経由のレクサス、子供の頃の毎日のマイクロソフト経由2014-2016レクサス車と2016トヨタランドクルーザーの所有者は昨日彼らのナビゲーションシステムで全国的な停電を経験していました。幸いなことに、ディーラーはハードリセットの形で修正を行っています。

この巨大なレンガで60台のUSBデバイスを一度に充電

この巨大なレンガで60台のUSBデバイスを一度に充電

この巨大な60ポートUSB充電器は、家で利用可能な電源コンセントをめぐる争いをなくし、誰もがすべてのモバイルデバイスを同時に充電できるようになると考えるのは素晴らしいことです。しかし実際には、あなたが再び尽きる前に、それはおそらくあなたに数年の正気を買うだけになるでしょう。

ハスブロの新しいフォースの覚醒おもちゃはいくつかの新しい詳細を明らかにします—そして素晴らしいハンソロ

ハスブロの新しいフォースの覚醒おもちゃはいくつかの新しい詳細を明らかにします—そして素晴らしいハンソロ

フォースフライデーは行ったり来たりしたかもしれませんが、今からフォースの覚醒までの間にスターウォーズのおもちゃがもっとたくさんあるでしょう。ハスブロはニューヨークコミコンでたくさんの新しいフィギュアを発表しました—そしてそれらの1つはハンソロ自身に他なりません。

オリンピックは壊れており、ボストンはそれらを修正することはできません

オリンピックは壊れており、ボストンはそれらを修正することはできません

先週、米国オリンピック委員会は、2024年のオリンピックに入札するための賛辞としてボストンを選びました。多くのボストニアンはそれについてあまり満足していませんでした、そしてその理由は簡単にわかります。

MORE COOL STUFF

レディー・ガガがパスタとパンを食べて、「ハウス・オブ・グッチ」の役割のために彼女の体を準備する

レディー・ガガがパスタとパンを食べて、「ハウス・オブ・グッチ」の役割のために彼女の体を準備する

彼女はパトリツィア・レジアーニを演じるためにイタリア文化に没頭しただけでなく、伝統的なイタリア料理をたくさん食べるようにしました。

「ギルモア・ガールズ」:ローレライとエミリー・ギルモアの間の3つの心温まる瞬間

「ギルモア・ガールズ」:ローレライとエミリー・ギルモアの間の3つの心温まる瞬間

ローレライとエミリーギルモアは密接な関係を持っていませんでした。実際、「ギルモア・ガールズ」は彼らの関係を氷のように示しました。それでも、いくつかの暖かい瞬間がありました。

ルシルボールの遺産には、制作会社を経営する最初の女性であることが含まれます

ルシルボールの遺産には、制作会社を経営する最初の女性であることが含まれます

ルシルボールは、エンターテインメント業界のパイオニアです。

Josh Duggar News:受刑者が裁判で証言するのはなぜですか?ダガー家族評論家は理論を持っています

Josh Duggar News:受刑者が裁判で証言するのはなぜですか?ダガー家族評論家は理論を持っています

最近のジョシュダガーのニュースは、受刑者がダガーの裁判で証言するだろうと述べています。ダガー家の批評家は今、彼が誰であるか、そしてその理由についての理論を持っています。

ミニクロスワードをお試しください

ミニクロスワードをお試しください

毎週更新される私たちのミニクロスワードは、私たちのお気に入りのハウスタッフワークスの読みと頭のいい手がかりを組み合わせています!

どれが最も効果的ですか:洗濯ポッド、粉末または液体洗剤?

どれが最も効果的ですか:洗濯ポッド、粉末または液体洗剤?

適切な洗剤を選ぶことを心配することなく、洗濯をすることは十分に悪いことです。では、どちらが最適ですか?それとも重要ですか?

ケンタッキーの青い人々の実話

ケンタッキーの青い人々の実話

ケンタッキー州の田舎に住むFugatesとCombsの家族は、遺伝的宝くじを失いました。どちらも、結婚するにつれて肌が青く見える、まれな劣性形質を共有していました。これの原因は何でしたか?そして、家族はどうなりましたか?

カリフォルニアコンドルの「バージンバース」は種を救うことができますか?

カリフォルニアコンドルの「バージンバース」は種を救うことができますか?

カリフォルニアコンドルを絶滅から救うためのプログラムで、2羽の父親のいないオスのヒナが飼育されています。そのような「処女」の誕生はどのように可能ですか?

サタデーナイトライブコメディアン兼作家ピーターエイクロイドデッド66歳

サタデーナイトライブコメディアン兼作家ピーターエイクロイドデッド66歳

俳優のダンエイクロイドの兄弟であるピーターエイクロイドは、1979年のサタデーナイトライブの1シーズンで作家とキャストの両方のメンバーを務めました。

「攻撃的な癌」の診断後、ジョー・エキゾティックがノースカロライナ州の医療施設に移送された

「攻撃的な癌」の診断後、ジョー・エキゾティックがノースカロライナ州の医療施設に移送された

タイガーキングスターのジョセフ 'ジョーエキゾティック'マルドナド-パッセージは当初、彼の前立腺癌の診断を明らかにした後、今月後半に移管されることになっていた

CardiBとOffsetのDaughterKultureがInstagramで美しい新しいブレードを披露

CardiBとOffsetのDaughterKultureがInstagramで美しい新しいブレードを披露

Cardi BとOffsetの3歳の娘、Kultureは、Instagramで彼女の新しい編みこみのヘアスタイルを披露しました。

ジョージア州の人口移動のマッピング

ジョージア州の人口移動のマッピング

過去数か月にわたって、私は全国的な移民の傾向について、また私の故郷であるケンタッキー州の特定の移民の話について広範囲に書いてきました。これを行っている間、他の州について質問する読者からのフィードバックを得ることに興奮しています。イリノイ、アイオワ、オレゴン、ノースカロライナ、または今週取り上げる記事について、どのような話をすることができますか。 、ジョージア?ケンタッキー州ほどこれらの州については知りませんが、それらの移行パターンを調査しながら、さらに多くのことを学びたいと思っています。

投資知識とシルバーサーファー

投資知識とシルバーサーファー

マーベルの「ヘラルド・オブ・ガラクタス」が投資の専門知識の向上にどのように役立つか「私は勝利の激しい高揚を知っています。私は敗北のかじる痛みを知っています。

私は外側が白ですが、ずっと黒です。

私は外側が白ですが、ずっと黒です。

「オレオ」は、私の家族が肌の色を裏切った黒人と呼んでいたものです。彼らは外見は黒く見えるかもしれないが、その行動は彼らが内面が白であることを示したものでした。

デジタルアクセシビリティ入門

デジタルアクセシビリティ入門

従来、これは障害を持つ人々のアクセシビリティと考えられていましたが、実際には、モバイルデバイスを使用したり、ネットワークへの接続が遅い他のユーザーグループも含まれます。このシリーズの記事では、コース、記事、ビデオレクチャーなど、さまざまなソースからの情報を体系化して、このトピックをできるだけ広くカバーするようにしました。これは、包括的なイベントであり、公開するのは非常に間違っているためです。デジタル製品の1つ以上のステージのみ。

Language