Polyfill JS’ye yönelik tedarik zinciri saldırısı 100 binden fazla siteyi etkiledi

 (sansec.io)
8 puan yazan GN⁺ 2024-06-26 | 3 yorum | WhatsApp'ta paylaş
  • Polyfill.js, eski tarayıcı desteği için kullanılan açık kaynak bir kütüphane ve 100 binden fazla sitede kullanılıyor
  • Bu yıl şubat ayında Çinli bir şirket Polyfill.js’in alan adını ve GitHub hesabını devraldıktan sonra, ilgili alan adı üzerinden mobil cihazlara kötü amaçlı kod enjekte etmeye başladı
  • 25 Haziran güncellemesi: Google, hâlihazırda polyfill.io kullanan e-ticaret sitelerinin Google reklamlarını engellemeye başladı
  • Saldırı yöntemi: HTTP başlıklarına göre dinamik olarak üretilen kod yalnızca belirli mobil cihazlarda ve belirli saatlerde etkinleşiyor; yönetici kullanıcılar veya web analitik hizmetleri tespit edilirse çalıştırma geciktiriliyor
  • Kötü amaçlı kod örneği: Mobil kullanıcıları sahte bir Google Analytics alan adı (www. googie-anaiytics .com) üzerinden spor bahis sitelerine yönlendiriyor
  • Alınabilecek önlemler: Polyfill.js’in orijinal yazarı, modern tarayıcılarda artık gerekli olmadığını belirterek bu kütüphanenin artık kullanılmamasını öneriyor; Fastly ve Cloudflare ise güvenilir alternatifler sunuyor
  • Bu olay, tipik bir tedarik zinciri saldırısı örneği
  • Ek araçlar: Sansec’in ücretsiz CSP izleme hizmeti Sansec Watch ve eComscan arka uç tarayıcısı, Polyfill.io tespitini destekliyor

GN⁺ görüşü

  • Tedarik zinciri saldırılarının riski: Açık kaynak projelerin devralınmasıyla ortaya çıkabilecek güvenlik risklerini çok iyi gösteren bir örnek. Özellikle çok sayıda sitede kullanılan kütüphanelerde etki daha büyük olabilir.
  • Alternatif kütüphane kullanımı: Fastly ve Cloudflare gibi güvenilir alternatifleri kullanmak önemli. Ayrıca modern tarayıcı desteği yeterliyse Polyfill.js kullanımını bırakmak da değerlendirilebilir.
  • Güvenlik izlemenin gerekliliği: Kod değişikliklerini gerçek zamanlı izlemek için CSP izleme hizmetleri gibi güvenlik araçlarını kullanmak önemli.
  • Yönetici tespiti ve gecikmeli çalıştırma: Kötü amaçlı yazılımın yöneticileri veya analitik hizmetlerini tespit edip çalışmayı geciktirmesi, güvenlik çözümlerini aşma girişimi olduğundan buna karşı önlemler gerekli.
  • Eğitim ve farkındalık artırma: Geliştiricilerin ve operatörlerin tedarik zinciri saldırılarının risklerini fark etmesi, düzenli güvenlik eğitimi alması ve güncel güvenlik eğilimlerini takip etmesi önemli.

İlgili okumalar

3 yorum

 
xguru 2024-06-30

Sadece polyfill.io alan adının değil, bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.macoms.la ve newcrbpc.com adreslerinin de engellenmesi gerektiği söyleniyor.
 
humblebee 2024-06-26

https://tr.news.hada.io/topic?id=15118
Yaklaşık bir ay önce bu konunun GN'de ele alındığını görüp ilgiyle takip ediyorum. Sorunun nedeni belli bir ölçüde ortaya çıksa bile, toparlama ve takip önlemleri için gereken süre boyunca birçok yerin saldırılara maruz kalmaya devam etmek zorunda kalacağı bir yapı gibi görünüyor. İhlal vakaları artmaya devam ederken güvenlik uzmanlarının yetersiz kalması eğiliminin bir süre daha şiddetlenmesinden endişe duyuyorum,
 
GN⁺ 2024-06-26
Hacker News görüşleri

  • Herkese açık CDN kullanmanın riskleri: Herkese açık CDN kullanmak, mobil cihazlara kötü amaçlı kod enjekte edilmesine yol açabilir. Bunu azaltmak için SRI (Subresource Integrity) kullanılabilir, ancak en iyi çözüm içeriği doğrudan kendi CDN hizmetiniz üzerinden barındırmaktır.

  • Oyun teorisi açısından: Açık kaynak yazılım bakımı, karşılık beklemeden çok sayıda siteyi desteklemeyi gerektirir ve bu durum sonunda güvenlik sorunlarına yol açabilir.

  • Washington Post ve Fox News'in harici içerikleri: Her iki web sitesi de çok sayıda harici içerik barındırıyor ve bu da onları saldırı hedefi haline getirebilir.

  • Cloudflare'ın öngörüsü: Cloudflare bu tür sorunları zaten öngördü ve bunları azaltmaya yönelik çözümler sundu.

  • Polyfill hizmetinin kurucusunun görüşü: Polyfill hizmeti projesini kendisi başlattı, ancak alan adının sahipliği onda değildi; şu anda bu alan adı kötü amaçlı kod enjekte ediyor. Derhal kullanımın durdurulması tavsiye ediliyor.

  • Beklenen sorun: Bu sorun 4 ay öncesinden öngörülmüştü ve daha fazla insanın bunun farkına varıp önlem alması gerekirdi.

  • Spor bahis sitelerine yönlendirme: Kullanıcılar istemedikleri sitelere yönlendirilebiliyor ve bu bazı kullanıcılar üzerinde etkili olabiliyor.

  • SRI'dan yeterince bahsedilmemesi: Haberde SRI'dan hiç söz edilmemesi şaşırtıcı. SRI, düşük maliyetli ve yüksek etkili bir çözüm.

  • Geliştiricilerle konuşmalar: Birçok geliştirici CDN ele geçirilmesi konusuna kayıtsız kalıyor ve bu da güvenlik sorunlarına yol açabiliyor.

  • Kendi kendine barındırma önerisi: Bağımlılıkları her zaman doğrudan kendiniz barındırmanız iyi olur; bu, kullanıcı gizliliğini korumaya da yardımcı olur.