حزم NuGet ضعيفة تفتح باب استهداف منصة .NET أمام المهاجمين
في حالة واحدة ، وجد أن ""Winscphelper" - تستخدم مكتبة إدارة ملفات خادم عن بُعد والتي تم تنزيلها أكثر من 35000 مرة - إصدار WINSCP القديم والضعيف 5.11.2 ، في حين الإصدار WINSCP 5.17.10 تم إصداره في وقت سابق من شهر يناير يتناول عيب تنفيذ تعسفي حرج (CVE-2021-3331) ، وبالتالي تعريض مستخدمي الحزمة للضعف
متابعات-ميكسي نيوز
NuGet…كشف تحليل للحزم الجاهزة التي تم استضافتها على مستودع Nuget عن أن 51 مكونًا فريدًا من مكونات البرمجيات يكون عرضة لاستغلال الثغرات الأمنية المستغلة ، مما يؤكد مرة أخرى التهديد الذي تشكله تبعية الطرف الثالث على عملية تطوير البرمجيات.
في ضوء العدد المتزايد من الحوادث الإلكترونية التي تستهدف سلسلة إمداد البرمجيات ، هناك حاجة ملحة لتقييم وحدات الطرف الثالث هذه لأي مخاطر أمنية وتقليل سطح الهجوم.
nuget هي آلية مدعومة من Microsoft لمنصة .NET والوظائف كمدير حزمة مصمم لتمكين المطورين من مشاركة التعليمات البرمجية القابلة لإعادة الاستخدام. يحتفظ الإطار بمستودع مركزي لأكثر من 264000 حزمة فريدة من نوعها أنتجت بشكل جماعي أكثر من 109 مليار تنزيل الحزمة.
“كانت جميع مكونات البرمجيات التي تم تحديدها مسبقًا في بحثنا كانت إصدارات مختلفة من 7ZIP و WINSCP و Pottygen ، وهي برامج توفر ضغطًا معقدًا ووظائف الشبكة” ، Zanki أوضح. “يتم تحديثها بشكل مستمر لتحسين وظائفهم ومعالجة نقاط الضعف الأمنية المعروفة. ومع ذلك ، يحدث في بعض الأحيان أن يتم تحديث حزم البرامج الأخرى ولكن لا تزال تستخدم تبعيات عمرها عدة سنوات تحتوي على نقاط ضعف معروفة.”
في حالة واحدة ، وجد أن “”Winscphelper” – تستخدم مكتبة إدارة ملفات خادم عن بُعد والتي تم تنزيلها أكثر من 35000 مرة – إصدار WINSCP القديم والضعيف 5.11.2 ، في حين الإصدار WINSCP 5.17.10 تم إصداره في وقت سابق من شهر يناير يتناول عيب تنفيذ تعسفي حرج (CVE-2021-3331) ، وبالتالي تعريض مستخدمي الحزمة للضعف.
علاوة على ذلك ، أنشأ الباحثون أن أكثر من 50000 مكون من مكونات البرمجيات المستخرجة من حزم nuget كانت مرتبطة بشكل ثابت بإصدار ضعيف من “” “زلب“مكتبة ضغط البيانات ، مما يعرضها لخطر العديد من المشكلات الأمنية المعروفة مثل CVE-2016-9840و CVE-2016-9841و CVE-2016-9842، و CVE-2016-9843.
بعض الحزم التي لوحظت أن لها ضعف Zlib “هي”dicomobjects” و “librdkafka.redist“، تم تنزيل كل منها ما لا يقل عن 50000 و 18.2 مليون مرة. إن الأمر الأكثر إثارة للقلق هو أن” Librdkafka.redist “مدرج على أنه تبعية للعديد من الحزم الشائعة الأخرى ، حيث يعتبر عميل Confluent .
NET الخاص بـ Apache Kafka (Confluent.Kafka) ، والتي ، بدورها ، تم تنزيل أكثر من 17.6 مليون مرة حتى الآن.
وقال زانكي “الشركات التي تطور حلول البرمجيات تحتاج إلى أن تصبح أكثر وعياً بمثل هذه المخاطر ، وتحتاج إلى أن تصبح أكثر مشاركة في معالجتها”.
“يجب التحقق من كل من المدخلات والمخرجات النهائية لعملية تطوير البرمجيات من أجل التلاعب وجودة الكود.
إن تطوير البرمجيات الشفافة هو أحد الأحجار الرئيسية اللازمة لتمكين الكشف المبكر والوقاية من هجمات سلسلة توريد البرمجيات.”
