🧨 بمبهای خفته در پکیجها!
🧨 بمبهای خفته در پکیجها!
این چند روز، ۷ تا پروژه پر کاربرد رو کاویدم و گاهن تا لایهی چهارم تودرتو ی وابستگیهاشون آسیبپذیری امنیتی پیدا کردم. و این در مورد فلان پروژهی گمنام نیست. ویژوال استدیو آسیبپذیریها رو نشون میده ولی وقتی تودرتو میشن از یه لایهای به پایین کمی کار دشوار میشه.
این موضوع در مورد پکیجهای جاوا اسکریپت و پایتون و گو هم هست. اینو نوشتم تا کمی توجهتون رو به سمت آسیبهای بالقوهی اینها جلب کنم.
مثال دنیای واقعی:
سال ۲۰۲۴؛ XZ Utils Backdoor
نسخههای ۵.۶.۰ و ۵.۶.۱ کتابخونه فشردهسازی XZ Utils بالاترین درجه آسیبپذیری CVSS، یعنی ۱۰ رو به خاطر بکدور تعمدی دریافت کرد که به هکر اجازه میداد بدون مجوز به ماشین لینوکسی دسترسی پیدا کنن. با احراز هویت SSH تداخل داشت که باعث میشد هکر بتونه به سیستمها نفوذ کنن. ☠️
توزیعهای مهم لینوکس مثل فدورا، دبیان، اوپنسوزه و کالی لینوکس رو درگیر کرد.
فجایع Solarwinds و Log4Shell و MavenGate و... کلی اتفاق دیگه، نمونههای خوبی از آسیب خوردن یا آسیب زدن به پروژهها بود.
طبق آمار، بیش از ۵۰ درصد پروژههای ما با کتابخونهها و ابزارهای کدباز تولید میشه. لطفا بیشتر به این موضوع توجه کنید و اگر بستهای نیاز به بهروز رسانی داره، زحمتش رو بکشید 😊 اکثر این نمونهها ساده است، سورس رو باز کنید، وابستگیها رو لایه به لایه بهروزرسانی کنید (شاید تغییرات کوچکی از جنس breaking change نیاز داشته باشه) بعد pull request.
چرا میگم آسونه؟ چون در مورد آسیبپذیریهای شناخته شده صحبت میکنم. نه اینکه بگردید آسیبپذیری پیدا کنید، خود ویژوال استدیو یا SonarQube دقیقا میگن کدوم بسته آسیبپذیره.
تمرین خوبیه! اعتماد کنید... نمونه خواستید برای تمرین، بهم بگید 😉
#security