15-летний баг в PEAR открывал вектор атаки на цепочки поставок

В PHP-репозитории PEAR на протяжении 15 лет существовала уязвимость, которая могла позволить злоумышленникам провести атаку на цепочку поставок, получить возможность публиковать вредоносные пакеты и выполнять произвольный код.

О проблеме в безопасности рассказал Томас Шаушфайн, специалист компании SonarSource, который описывает брешь так:

«Условный атакующий с помощью эксплуатации выявленной уязвимости может захватить аккаунт разработчика и публиковать от его имени вредоносные релизы. Есть и второй баг, позволяющий злоумышленникам получить доступ к центральному серверу PEAR».

Интересна, что эта проблема освещалась аж в 2007 году, когда эксперты указывали на небезопасную PHP-функцию mt_rand(), используемую для сброса паролей. Тогда, по словам специалистов, киберпреступникам понадобилось бы менее 50 попыток для подбора токена.

Само собой, такая брешь открывала вектор атак на цепочку поставок с помощью специальных версий пакетов, в которые было бы добавлена функциональность трояна.

Вторая уязвимость, о которой упомянул Шаушфайн, работает в связке с основной и позволяет получить несанкционированный доступ на начальном этапе атаки. Проблема в этом случае кроется в использовании старой версии Archive_Tar, которую затрагивает дыра под идентификатором CVE-2020-36193 (7,5 балла по шкале CVSS).

Шаушфайн поразился тому, что уязвимости были актуальны более десяти лет, хотя их достаточно легко обнаружить и использовать в атаке. Такая ситуация, по мнению эксперта, заставляет сомневаться в состоятельности практик компании.