Critical Flaws in CocoaPods Expose iOS and macOS Apps to Supply Chain Attacks – OfficialSarkar

जुलाई 01, 2024न्यूज़रूमआपूर्ति श्रृंखला / सॉफ्टवेयर सुरक्षा

इसमें सुरक्षा संबंधी तीन खामियां उजागर हुई हैं। कोकोपोड्स स्विफ्ट और ऑब्जेक्टिव-सी कोको परियोजनाओं के लिए निर्भरता प्रबंधक, जिसका उपयोग सॉफ्टवेयर आपूर्ति श्रृंखला हमलों के लिए किया जा सकता है, जिससे डाउनस्ट्रीम ग्राहकों को गंभीर जोखिम हो सकता है।

ईवीए सूचना सुरक्षा शोधकर्ता रीफ स्पेक्टर और एरान वैकनिन ने कहा कि ये कमजोरियां “किसी भी दुर्भावनापूर्ण अभिनेता को हजारों लावारिस पॉड्स पर स्वामित्व का दावा करने और कई सबसे लोकप्रिय आईओएस और मैकओएस अनुप्रयोगों में दुर्भावनापूर्ण कोड डालने की अनुमति देती हैं।” कहा आज प्रकाशित एक रिपोर्ट में यह बात कही गई है।

इज़रायली एप्लीकेशन सुरक्षा फर्म ने कहा कि तीनों मुद्दों को सुलझा लिया गया है। समझौता अक्टूबर 2023 तक कोकोपोड्स द्वारा। यह खुलासे के जवाब में उस समय सभी उपयोगकर्ता सत्रों को भी रीसेट करता है।

इनमें से एक कमजोरी CVE-2024-38368 (CVSS स्कोर: 9.3) है, जो हमलावर के लिए “CVSS” का दुरुपयोग करना संभव बनाती है।अपने पॉड्स का दावा करें” प्रक्रिया और पैकेज का नियंत्रण लेना, उन्हें प्रभावी रूप से स्रोत कोड के साथ छेड़छाड़ करने और दुर्भावनापूर्ण परिवर्तन करने की अनुमति देता है। हालाँकि, इसके लिए आवश्यक है कि सभी पूर्व अनुरक्षकों को परियोजना से हटा दिया गया हो।

समस्या की जड़ें 2014 तक जाती हैं, जब एक प्रवासन हुआ ट्रंक सर्वर हजारों पैकेज अज्ञात (या लावारिस) स्वामियों के लिए एक सार्वजनिक API का उपयोग करने की अनुमति देता है, तथा हमलावर को पॉड्स पर दावा करने के लिए एक सार्वजनिक API का उपयोग करने की अनुमति देता है, तथा नियंत्रण लेने के लिए कोकोपॉड्स स्रोत कोड (“unclaimed-pods@cocoapods.org”) में उपलब्ध एक ईमेल पता का उपयोग करने की अनुमति देता है।

दूसरा बग और भी अधिक गंभीर है (CVE-2024-38366, CVSS स्कोर: 10.0) और यह ट्रंक सर्वर पर मनमाना कोड चलाने के लिए असुरक्षित ईमेल सत्यापन वर्कफ़्लो का लाभ उठाता है, जिसका उपयोग पैकेजों में हेरफेर करने या उन्हें बदलने के लिए किया जा सकता है।

सेवा में ईमेल पता सत्यापन घटक (CVE-2024-38367, CVSS स्कोर: 8.2) में एक दूसरी समस्या भी पाई गई है, जो प्राप्तकर्ता को एक सौम्य सत्यापन लिंक पर क्लिक करने के लिए प्रेरित कर सकती है, जबकि वास्तव में यह डेवलपर के सत्र टोकन तक पहुंच प्राप्त करने के लिए अनुरोध को हमलावर-नियंत्रित डोमेन पर भेज देती है।

मामले को बदतर बनाते हुए, इसे HTTP हेडर को स्पूफ करके शून्य-क्लिक खाता अधिग्रहण हमले में अपग्रेड किया जा सकता है – यानी, संशोधित करना एक्स-फॉरवर्डेड-होस्ट हेडर फ़ील्ड – और गलत कॉन्फ़िगर किए गए ईमेल सुरक्षा टूल का लाभ उठाना।

शोधकर्ताओं ने कहा, “हमने पाया है कि लगभग हर पॉड मालिक ट्रंक सर्वर पर अपने संगठनात्मक ईमेल के साथ पंजीकृत है, जो उन्हें हमारे शून्य-क्लिक अधिग्रहण भेद्यता के प्रति असुरक्षित बनाता है।”

यह पहली बार नहीं है जब कोकोपॉड्स जांच के दायरे में आया है। मार्च 2023 में, चेकमार्क्स दिखाया गया निर्भरता प्रबंधक (“cdn2.cocoapods” से संबद्ध एक परित्यक्त उप-डोमेन[.]org”) को किसी विरोधी द्वारा GitHub पेज के माध्यम से अपने पेलोड को होस्ट करने के उद्देश्य से हाईजैक किया जा सकता था।