Alex Birsan, um pesquisador romeno especialista em detectar ameaças virtuais, ganhou recentemente mais de US$ 130 mil (o equivalente a R$ 700 mil na conversão atual) em recompensas ao invadir sistemas de TI em dezenas de grandes empresas de tecnologia. Mas calma, pois Birsan não usou nenhum dado para o mal: ele apenas identificou a falha e quis mostrar como programas de código aberto dessas companhias estão extremamente vulneráveis.
Birsan apelidou esta vulnerabilidade de “confusão de dependência”. Segundo o desenvolvedor, “ela foi detectada em mais de 35 organizações até o momento, em todas as três linguagens de programação testadas. A grande maioria das empresas afetadas possuem mais de mil funcionários”. Ele ainda esclareceu ao BleepingComputer que a brecha envolve “vulnerabilidades ou falhas de design em ferramentas automatizadas de construção ou instalação [que] podem fazer com que dependências públicas sejam confundidas com dependências internas que tenham exatamente o mesmo nome”.
Birsan usou um único ataque para comprometer os sistemas da Tesla, Netflix, Microsoft, Apple, Paypal, Uber, Yelp e de outras 30 corporações. Segundo o Threatpost, o processo envolve justamente a manipulação de código aberto usado para executar um programa, injetando um outro código malicioso em ferramentas que utilizam plataformas públicas de divulgação, como o GitHub. O código malicioso então usa esses arquivos públicos para propagar malware por meio de aplicativos e sistemas internos de uma empresa-alvo.
Sim, eu sei que pode parecer um pouco complicado, mas, essencialmente, Birsan descobriu que alguns pacotes de códigos internos para grandes empresas estavam sendo publicados de forma não intencional em repositórios públicos, como o Github, por vários motivos, incluindo servidores internos ou na nuvem que estejam mal configurados e processos de desenvolvimento vulneráveis. Birsan também descobriu que ferramentas de construção automatizadas, que são usadas por empresas durante o desenvolvimento de seus serviços, às vezes “confundiam” esse código público com um código interno se os pacotes tivessem o mesmo nome.
Como resultado, um invasor poderia potencialmente fazer upload de “malware para repositórios de códiempresago aberto” que seriam então inseridos automaticamente no sistema de uma . Birsan afirma que esses pacotes de códigos maliciosos e falsificados permitiriam a um malfeitor executar código arbitrário ou poderiam ser utilizados para adicionar “backdoors dentro do(s) projeto(s) afetado(s) durante o processo de compilação”.
Quando Birsan começou a explorar essa vulnerabilidade no ano passado, a empresa de segurança Sonatype começou a sinalizar os pacotes que Birsan estava enviando como malware. No entanto, o pesquisador notificou a companhia rapidamente sobre sua pesquisa em andamento, explicando que uma divulgação oficial sobre a brecha aconteceria em 2021.
Os hacks bem sucedidos de Birsan renderam a ele várias recompensas e a gratidão de várias grandes empresas de tecnologia. “Sinto que é importante deixar claro que todas as organizações visadas durante esta pesquisa deram permissão para ter sua segurança testada, seja por meio de programas públicos de recompensa de bugs ou de acordos privados. Por favor, não tente este tipo de teste sem autorização”, escreveu Birsan em uma postagem na internet.
Birsan, que anteriormente trabalhou como engenheiro de Python na Bitdefender e passou os últimos três anos como consultor de segurança de TI autônomo, observou ainda que esse tipo de vulnerabilidade tem o potencial de se tornar um problema muito maior no futuro.
“Eu acredito que encontrar maneiras novas e inteligentes de vazar nomes de pacotes internos irá expor ainda mais sistemas que já são vulneráveis. Além disso, olhar para linguagens de programação alternativas e repositórios [públicos] irá revelar alguma superfície de ataque adicional para bugs de confusão de dependências”, concluiu.