Недостатки CocoaPods указывают на растущие риски в цепочке поставок

Исследователи безопасности из E.V.A Information Security обнаружили несколько критических уязвимостей в CocoaPods, популярном менеджере зависимостей для проектов на Swift и Objective-C. Эти уязвимости потенциально могут подвергнуть миллионы устройств Apple атакам на цепочки поставок, подчеркивая растущие риски, связанные с зависимостями в программном обеспечении с открытым исходным кодом.

CocoaPods, используемый в более чем трех миллионах мобильных приложений, играет важнейшую роль в экосистеме разработки iOS и macOS. Обнаруженные недостатки могут позволить злоумышленникам получить право собственности на осиротевшие пакеты, выполнить произвольный код на сервере CocoaPods 'Trunk' и осуществить захват учетной записи "нулевым кликом".

Подробности уязвимости:

• Несанкционированное владение осиротевшими пакетами (CVE-2024-38368): Злоумышленники могли получить право собственности на любую из 1 866 осиротевших подсистем, что могло привести к внедрению вредоносного кода в широко используемые пакеты.
• Удаленное выполнение кода на сервере 'Trunk' (CVE-2024-38366): Недостаток в процессе проверки электронной почты может позволить злоумышленникам выполнить произвольный код на сервере, управляющем распространением пакетов.
• Захват учетной записи с нулевым кликом (CVE-2024-38367): Используя заголовок X-Forwarded-Host и средства защиты электронной почты, злоумышленники могут получить несанкционированный доступ к учетным записям разработчиков.

Уязвимости затрагивают значительную часть экосистемы приложений на Swift и Objective-C, потенциально влияя на тысячи и миллионы приложений на iOS, macOS и других платформах Apple. Крупные компании, такие как Google, GitHub, Amazon и Dropbox, ведут проекты, которые могут оказаться под угрозой из-за этих дефектов.

"Многие из этих невостребованных модулей по-прежнему широко используются. Мы обнаружили упоминания о бесхозных Pods в документации или условиях обслуживания приложений, предоставляемых Meta (Facebook, WhatsApp), Apple (Safari, AppleTV, Xcode) и Microsoft (Teams), а также в TikTok, Snapchat, Amazon, LinkedIn, Netflix, Okta, Yahoo, Zynga и многих других", - пояснили исследователи E.V.A Information Security.

Потенциальные последствия этих уязвимостей весьма серьезны. Злоумышленники могут получить доступ к конфиденциальной информации пользователей, включая данные кредитных карт и медицинских карт, что может привести к атакам с использованием выкупного ПО, мошенничеству или корпоративному шпионажу".

Разработчикам и организациям, использующим CocoaPods, особенно до октября 2023 года, рекомендуется принять срочные меры:

• Просмотреть списки зависимостей и проверить контрольные суммы сторонних библиотек.
• Выполните сканирование безопасности для обнаружения вредоносного кода или подозрительных изменений.
• Постоянно обновляйте программное обеспечение и ограничьте использование бесхозных или не поддерживаемых пакетов.
• Проводите тщательную проверку безопасности кода сторонних разработчиков.
• Убедитесь, что не используются осиротевшие пакеты.
• Обеспечьте активное сопровождение зависимостей от сторонних разработчиков с четким определением прав собственности.

Команда CocoaPods была проинформирована об этих уязвимостях и уже исправила их. Тем не менее, этот инцидент служит ярким напоминанием о рисках, связанных со значительным использованием зависимостей с открытым исходным кодом, и о важности поддержания бдительности в вопросах безопасности цепочки поставок программного обеспечения.

Это открытие подчеркивает необходимость того, чтобы разработчики не забывали о потенциальных последствиях интеграции стороннего кода в свои приложения. Поскольку цепочки поставок программного обеспечения становятся все более сложными, понимание состава кода приложений и обеспечение достоверности зависимостей с открытым исходным кодом имеют первостепенное значение.

Несмотря на отсутствие прямых доказательств использования этих уязвимостей в реальных условиях, потенциальное воздействие на миллионы устройств Apple по всему миру требует проактивного подхода к обеспечению безопасности. Разработчикам рекомендуется применять рекомендованные стратегии устранения уязвимостей и быть в курсе состояния безопасности своих инструментов управления зависимостями.