384,000 webhely veszélyben! Gyanús kódkönyvtár okozhat adatvédelmi rémálmot a kínai felvásárlás után

 

Ellátási lánc támadás: Polyfill.io és a kártékony átirányítás

Az elmúlt héten több mint 384,000 weboldal hivatkozott egy olyan oldalra, amely ellátási lánc támadást hajtott végre és átirányította a látogatókat kártékony oldalakra – közölték kutatók.

Évekig a polyfill[.]com-on található JavaScript kód jogos open source projekt volt, amely lehetővé tette a régebbi böngészők számára az újabb funkciók kezelését. A webhelyek a cdn.polyfill[.]io linkelésével biztosíthatták, hogy a régi böngészőket használó eszközök is meg tudjanak jeleníteni új formátumú tartalmakat. Az ingyenes szolgáltatás népszerű volt a webhelyek körében, mivel csak annyit kellett tenniük, hogy beágyazzák a linket az oldalukba. A polyfill oldalon tárolt kód elvégezte a többit.

Az ellátási lánc támadások ereje

Februárban a kínai székhelyű Funnull cég megszerezte a domaint és a GitHub fiókot, amely a JavaScript kódot tárolta. Június 25-én a Sansec biztonsági cég kutatói arról számoltak be, hogy a polyfill domainen tárolt kódot átírták, hogy a felhasználókat felnőtt és szerencsejáték-témájú oldalakra irányítsa át. A kód szándékosan úgy lett kialakítva, hogy az átirányításokat csak bizonyos napszakokban és csak meghatározott kritériumoknak megfelelő látogatók esetében hajtsa végre.

A felfedezés iparági szintű felhívásokat váltott ki a cselekvésre. Két nappal a Sansec jelentésének közzététele után a Namecheap domain regisztrátor felfüggesztette a domaint, ami ténylegesen megakadályozta a kártékony kód futtatását a látogatók eszközein. Még ekkor is a tartalomszolgáltató hálózatok, mint például a Cloudflare, automatikusan biztonságos tüköroldalakra cserélték a pollyfill linkeket. A Google blokkolta azokat a hirdetéseket, amelyek az oldalukon a Polyfill[.]io domaint ágyazták be. Az uBlock Origin webhely blokkoló felvette a domaint a szűrőlistájára. Andrew Betts, a Polyfill.io eredeti létrehozója, felszólította a webhely tulajdonosokat, hogy azonnal távolítsák el a könyvtárra mutató linkeket.

Kedden, pontosan egy héttel a kártékony viselkedés nyilvánosságra kerülése után, a Censys biztonsági cég kutatói szerint még mindig 384,773 webhely hivatkozott az oldalra. Néhány ezek közül olyan mainstream cégekkel volt kapcsolatban, mint a Hulu, a Mercedes-Benz, és a Warner Bros., valamint a szövetségi kormánnyal. A megállapítások rávilágítanak az ellátási lánc támadások erejére, amelyek több ezer vagy millió emberhez terjeszthetnek kártevőket egyszerűen azáltal, hogy egy közös forrást fertőznek meg, amelyet mindannyian használnak.

„Mivel a domaint felfüggesztették, az ellátási lánc támadás leállt,” írta Aidan Holland, a Censys kutatócsapatának tagja egy e-mailben. „Azonban, ha a domaint feloldják vagy átadják, az újra folytathatja kártékony tevékenységét. Remélem, hogy a NameCheap megfelelően lezárta a domaint és megakadályozza ezt a jövőben.”

Továbbá, a Censys által végzett internetes vizsgálat több mint 1.6 millió webhelyet talált, amelyek egy vagy több olyan domainre hivatkoztak, amelyeket ugyanaz az entitás regisztrált, amely a polyfill[.]io-t birtokolta. Legalább az egyik webhelyet, a bootcss[.]com-ot júniusban figyelték meg, hogy a polyfillhez hasonló kártékony tevékenységeket végez. Az a domain, és három másik—bootcdn[.]net, staticfile[.]net, és staticfile[.]org—szintén felhasználói hitelesítési kulcsot szivárogtattak ki, amelyet a Cloudflare által biztosított programozási interfészhez használtak.

A Censys kutatói írták:

„Eddig ez a domain (bootcss.com) az egyetlen, amely bármilyen jelet mutat a potenciális rosszindulatúságra. A többi kapcsolódó végpont természetéről még nem tudjuk, és elkerüljük a spekulációt. Azonban nem lenne teljesen irreális feltételezni, hogy ugyanaz a kártékony szereplő, aki a polyfill.io támadásáért felelős, kihasználhatja ezeket a más domainokat hasonló tevékenységekhez a jövőben.”

A 384,773 webhely közül, amelyek még mindig a polyfill[.]com-ra hivatkoztak, 237,700, vagyis közel 62 százalék Németországban található Hetzner web hostnál volt elhelyezve.

A Censys megállapította, hogy különböző mainstream webhelyek—a köz- és a magánszektorban egyaránt—voltak azok között, amelyek a polyfillre hivatkoztak. Ezek közé tartoztak:

  • Warner Bros. (www.warnerbros.com)
  • Hulu (www.hulu.com)
  • Mercedes-Benz (shop.mercedes-benz.com)
  • Pearson (digital-library-qa.pearson.com, digital-library-stg.pearson.com)
  • ns-static-assets.s3.amazonaws.com

Az amazonaws.com cím volt a leggyakoribb domain, amely a polyfill oldalra hivatkozó helyekkel volt kapcsolatban, ami a széleskörű használatot jelzi az Amazon S3 statikus webhely szolgáltatását használók körében.

A Censys továbbá 182 .gov végződésű domaint talált, ami azt jelenti, hogy kormányzati entitásokhoz tartoznak. Egy ilyen domain—a feedthefuture[.]gov—kapcsolódik az amerikai szövetségi kormányhoz. Az első 50 érintett webhely listája itt található.

A Funnull képviselőinek elérésére tett kísérletek nem voltak sikeresek.

Érdekes tény: Az ellátási lánc támadások egyre növekvő fenyegetést jelentenek, mivel az AI-vezérelt automatizált eszközök képesek azonosítani és kihasználni a sebezhetőségeket a szoftver ellátási láncokban.

Források: Sansec, Censys, Namecheap, Cloudflare, Google