去年 3 月,原始碼檢測軟體商 Checkmark 揭露與 CocoaPods 相依性管理工具相關的廢棄子網域,遭駭客以 GitHub Pages 網頁代管服務劫持的安全事件。現在安全研究人員在 Swift 和 Objective-C Cocoa 開源專案 CocoaPods 管理工具發現三個安全漏洞,可用來發動軟體供應鏈攻擊,對依賴兩專案約 300 萬個 macOS 和 iOS 熱門 App 的安全性造成重大影響。
以色列應用安全公司 E.V.A Information Security 研究員 Reef Spektor 和 Eran Vaknin 1 日報告指出,三個漏洞讓惡意行動者聲明擁有數千個無人聲明所有權的 Pod,將惡意程式植入許多最受歡迎 iOS 和 macOS 應用程式。CocoaPods 工具其實已在 2023 年 10 月修補漏洞,並重新設定所有連線階段。
通用漏洞評分系統(CVSS)評分為 9.3 的重大漏洞 CVE-2024-38368,允許攻擊者濫用「Claim Your Pods」進程並控制封包,篡改原始碼並引入惡意變更。
漏洞根源可追溯至 2014 年,遷移到 Trunk 伺服器留下數千個未知(或無人聲明)所有權的封包,允許攻擊者使用公共 API 聲明 Pod,並透過在 CocoaPods 原始程式碼找到的電子郵件地址(unclaimed-pods@cocoapods.org)接管控制權。
再來是 CVSS 評為 10 分,亦即最嚴重等級的 CVE-2024-38366 漏洞,充分利用不安全電子郵件驗證流程,在 Trunk 伺服器執行可植入或替換封包的任意程式碼。
還發現電子郵件地址驗證元件的第二個安全漏洞(CVE-2024-38367,CVSS 評分為8.2)。這漏洞誘使收件人點擊看似無害的驗證連結,其實會將請求重導向攻擊者控制網域,取得開發人員連線階段令牌的存取權限。更糟的是,透過偽造 HTTP 表頭(亦即修改 X-Forwarded-Host 表頭欄位)並利用錯誤電子郵件安全工具,進一步升級成零點擊帳號接管攻擊(zero-click account takeover attack)。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
