Πάνω από 100.000 ιστότοποι έχουν επηρεαστεί σε μια επίθεση αλυσίδας εφοδιασμού από την υπηρεσία Polyfill.
io
μετά την απόκτηση του τομέα από μια κινεζική εταιρεία και το σενάριο τροποποιήθηκε για να ανακατευθύνει τους χρήστες σε κακόβουλους και απάτες ιστότοπους.
ΕΝΑ
πολυγέμισμα
είναι κώδικας, όπως η JavaScript, που προσθέτει σύγχρονη λειτουργικότητα σε παλαιότερα προγράμματα περιήγησης που συνήθως δεν τον υποστηρίζουν. Για παράδειγμα, προσθέτει λειτουργίες JavaScript που δεν είναι διαθέσιμες για παλαιότερα προγράμματα περιήγησης, αλλά υπάρχουν σε σύγχρονα.
Η υπηρεσία polyfill.io χρησιμοποιείται από
εκατοντάδες χιλιάδες τοποθεσίες
για να επιτρέπεται σε όλους τους επισκέπτες να χρησιμοποιούν την ίδια βάση κώδικα, ακόμα κι αν τα προγράμματα περιήγησής τους δεν υποστηρίζουν τις ίδιες σύγχρονες δυνατότητες με τα νεότερα.
Επίθεση
στην αλυσίδα εφοδιασμού Polyfill.io
Σήμερα, η εταιρεία κυβερνο
ασφάλεια
ς Sansec προειδοποίησε ότι ο τομέας και η υπηρεσία polyfill.io ήταν
αγοράστηκε νωρίτερα φέτος
από μια κινεζική εταιρεία με το όνομα «Funnull» και το σενάριο έχει τροποποιηθεί για να εισάγει κακόβουλο κώδικα σε ιστότοπους σε επίθεση με αλυσίδα εφοδιασμού.
“Ωστόσο, τον Φεβρουάριο του τρέχοντος έτους, μια κινεζική εταιρεία αγόρασε τον τομέα και τον λογαριασμό Github. Από τότε, αυτός ο τομέας πιάστηκε να κάνει ένεση
κακόβουλο λογισμικό
σε κινητές συσκευές μέσω οποιουδήποτε ιστότοπου που ενσωματώνει το cdn.polyfill.io.”
εξηγεί ο Sansec
.
Όταν αγοράστηκε το polyfill.io, ο προγραμματιστής του έργου προειδοποίησε ότι ποτέ δεν ήταν ιδιοκτήτης του ιστότοπου polyfill.io και ότι όλοι οι ιστότοποι θα πρέπει να τον καταργήσουν αμέσως. Για να μειώσετε τον κίνδυνο πιθανής επίθεσης στην αλυσίδα εφοδιασμού,
Cloudflare
και
Γρήγορα
ρυθμίζουν τους δικούς τους καθρέφτες της υπηρεσίας Polyfill.io, έτσι ώστε οι ιστότοποι να μπορούν να χρησιμοποιούν μια αξιόπιστη υπηρεσία.
“Σήμερα κανένας ιστότοπος δεν απαιτεί κανένα από τα polyfills στη βιβλιοθήκη http://polyfill.io”, έγραψε στο Twitter ο αρχικός προγραμματιστής του έργου Polyfills.
“Οι περισσότερες δυνατότητες που προστίθενται στην πλατφόρμα Ιστού υιοθετούνται γρήγορα από όλα τα μεγάλα προγράμματα περιήγησης, με ορισμένες εξαιρέσεις που γενικά δεν μπορούν να συμπληρωθούν ούτως ή άλλως, όπως το Web Serial και το Web
Bluetooth
.”
Το
υς τελευταίους μήνες, η πρόβλεψη του προγραμματιστή έγινε πραγματικότητα και η υπηρεσία polyfill.io μετατράπηκε σε CNAME σε polyfill.io.bsclink.cn, την οποία διατηρούν οι νέοι κάτοχοι.
Όταν οι προγραμματιστές ενσωμάτωσαν τα σενάρια cdn.polyfill.io στους ιστότοπούς τους, έβγαλαν τώρα κώδικα απευθείας από τον ιστότοπο της κινεζικής εταιρείας.
Ωστόσο, οι προγραμματιστές ιστοτόπων διαπίστωσαν ότι οι νέοι ιδιοκτήτες εισήγαγαν κακόβουλο κώδικα που
ανακατευθύνει τους επισκέπτες σε ανεπιθύμητους ιστότοπους
χωρίς να το γνωρίζει ο ιδιοκτήτης του ιστότοπου.
Σε ένα παράδειγμα που είδε η Sansec, το τροποποιημένο σενάριο χρησιμοποιείται κυρίως για την ανακατεύθυνση των χρηστών σε ιστότοπους απάτης, όπως έναν ψεύτικο ιστότοπο Sportsbook. Αυτό το κάνει μέσω ενός ψεύτικου τομέα Google analytics (www.googie-anaiytics.com) ή μέσω ανακατευθύνσεων όπως kuurza.com/redirect?from=bitget.
Ωστόσο, οι ερευνητές λένε ότι ήταν δύσκολο να αναλυθεί πλήρως το τροποποιημένο σενάριο, καθώς χρησιμοποιεί πολύ συγκεκριμένη στόχευση και είναι ανθεκτικό στην αντίστροφη μηχανική.
«Ο κωδικός έχει ειδική προστασία έναντι της αντίστροφης μηχανικής και ενεργοποιείται μόνο σε συγκεκριμένες κινητές συσκευές συγκεκριμένες ώρες», συνέχισε η Sansec.
“Επίσης, δεν ενεργοποιείται όταν εντοπίζει έναν χρήστη διαχειριστή. Επίσης, καθυστερεί την εκτέλεση όταν βρεθεί μια υπηρεσία ανάλυσης ιστού, πιθανώς για να μην καταλήξει στα στατιστικά.”
Επί του παρόντος, ο τομέας cdn.polyfill.io έχει ανακατευθυνθεί μυστηριωδώς στον καθρέφτη του Cloudflare. Ωστόσο, καθώς οι διακομιστές DNS του τομέα παραμένουν αμετάβλητοι, οι κάτοχοι θα μπορούσαν εύκολα να τον αλλάξουν ξανά στους δικούς τους τομείς ανά πάσα στιγμή.
Το BleepingComputer επικοινώνησε με το Cloudflare για να δει εάν συμμετείχαν στην αλλαγή των εγγραφών CNAME, αλλά δεν έχει λάβει απάντηση.
Η Google εκδίδει προειδοποιήσεις στους διαφημιστές
Η Google έχει αρχίσει να ειδοποιεί τους διαφημιστές σχετικά με αυτήν την επίθεση στην αλυσίδα εφοδιασμού, προειδοποιώντας τους ότι οι σελίδες προορισμού τους περιλαμβάνουν τον κακόβουλο κώδικα και ότι θα μπορούσαν να ανακατευθύνουν τους επισκέπτες μακριά από τον προβλεπόμενο ιστότοπο χωρίς τη γνώση ή την άδεια του κατόχου του ιστότοπου.
Η Google προειδοποιεί επίσης ότι τα Bootcss, Bootcdn και Staticfile έχουν επίσης βρεθεί ότι προκαλούν ανεπιθύμητες ανακατευθύνσεις, προσθέτοντας ενδεχομένως χιλιάδες, αν όχι εκατοντάδες χιλιάδες, τοποθεσίες που επηρεάζονται από τις επιθέσεις της αλυσίδας εφοδιασμού.
«Ο κώδικας που προκαλεί αυτές τις ανακατευθύνσεις φαίνεται να προέρχεται από μερικούς διαφορετικούς τρίτους παρόχους πόρων ιστού, συμπεριλαμβανομένων των Polyfill.io, Bootcss.com, Bootcdn.net ή Staticfile.org», αναφέρεται στο μήνυμα ηλεκτρονικού ταχυδρομείου από την Google.
“Παρόμοιες αναφορές μπορούν να βρεθούν κάνοντας αναζήτηση για “polyfill.io” στο Google (https://www.google.com/search?q=polyfill.io).
Επιστολή της Google προς τους διαφημιστές σχετικά με την επίθεση στην αλυσίδα εφοδιασμού
Πηγή: SanSec
Η Google προειδοποιεί ότι εάν βρουν αυτές τις ανακατευθύνσεις κατά τη διάρκεια τακτικών ελέγχων των προορισμών διαφημίσεων, θα απορρίψουν τη σχετική διαφήμιση.
Η BleepingComputer επικοινώνησε με την Google για να μάθει περισσότερα σχετικά με τις ανακατευθύνσεις και πότε ξεκίνησαν.
VIA:
bleepingcomputer.com
0