Un novedoso ataque de cadena de suministro afecta a más de 35 empresas tecnológicas, que incluyen a Microsoft, Apple, Paypal, etc, y que culmina con la ejecución remota de código.

La técnica, conocida como ataque de sustición o confusión de dependencias, se aprovecha de la utilización repositorios tanto públicos y privados en proyectos de desarrollo software. Bajo determinadas circunstancias, es posible confundir al gestor de dependencias para que descargue un módulo en control del atacante.

Algunos lenguages de programación incorporan un sistema más o menos oficial para la instalación de dependencias en los proyectos. En el caso de Python, por ejemplo, se utiliza la utilidad pip, que consulta el índice PyPI (Python Package Index) en busca del módulo solicitado.

En palabras del investigador, Alex Birsan, resulta fascinante el nivel de confianza que se otorga a estos repositorios. Un comando sencillo como “pip install <nombre>” desencadena la búsqueda, descarga, instalación y, en última instancia, la ejecución del código solicitado.

Si bien el ataque a estos gestores de dependencias no es nuevo, la idea tras esta nueva variante radica en el abuso en la resolución de conflictos cuando un proyecto dispone tanto de repositorios públicos como privados. De esta manera, cuando se crea un módulo en un repositorio público con el mismo nombre que el usado internamente, el atacante consigue forzar la descarga del primero, con la consiguiente ejecución de código en la máquina de desarrollo afectada.

En la prueba de concepto realizada por el investigador, se dedico a crear módulos a los que se hacían referencias, pero que no existían en los repositorios públicos. Con la intención de no recopilar más información de la necesaria para corroborar la vulnerabilidad, el payload incorporado realizaba consultas DNS a un dominio bajo su control, cuyas peticiones exfiltraban información básica como el nombre del equipo, la ruta en el sistema de ficheros, etc.

En resumen, al término de su investigación, más de 35 grandes compañías habían utilizado alguno de los módulos publicados, lo que da una idea del potencial esta técnica si fuese utilizada con otros fines. No es de extrañar que haya sido recompensado con una buena suma de dinero por los diferentes programas de Bug Bounty de estas empresas.

Referencias
https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610
https://thehackernews.com/2021/02/dependency-confusion-supply-chain.html
https://incolumitas.com/2016/06/08/typosquatting-package-managers/

La entrada Ataque por confusión de dependencias afecta a multitud de grandes empresas se publicó primero en Una al Día.