Các lỗ hổng nghiêm trọng trong CocoaPods khiến các ứng dụng iOS và macOS dễ bị tấn công chuỗi cung ứng
Ba lỗ hổng bảo mật được phát hiện trong ứng dụng quản lý thư viện CocoaPods cho các dự án Cocoa Swift và Objective-C có thể bị khai thác để thực hiện các cuộc tấn công chuỗi cung ứng phần mềm, gây ra rủi ro nghiêm trọng đối với người dùng cuối.
Nhóm nghiên cứu của EVA Information Security (công ty an ninh mạng và kiểm thử tại Israel), cho biết đã phát hiện lỗi trong Cocoapods, trình quản lý phụ thuộc (Dependency Manager) được sử dụng rộng rãi cho các dự án phần mềm được mã hóa bằng ngôn ngữ lập trình Swift và Objective-C. Dependency Manager là công cụ quan trọng trong quá trình phát triển phần mềm, cho phép xác thực và ký mã hóa các gói phần mềm. Do đó, việc một công cụ như vậy gặp vấn đề sẽ tác động xấu đến nhiều phần của phần mềm hoặc web. Công ty cũng cho biết ba lỗ hổng này đã được CocoaPods vá kể từ tháng 10/2023.
Một trong ba lỗ hổng này có mã định danh là CVE-2024-38368 (điểm CVSS: 9.3), cho phép kẻ tấn công lạm dụng quy trình "Claim Your Pods" và chiếm quyền kiểm soát gói (package), dẫn đến việc can thiệp vào mã nguồn và thực hiện những thay đổi độc hại. Tuy nhiên, điều này yêu cầu tất cả những người bảo trì trước đó phải bị xóa khỏi dự án.
Nguồn gốc của vấn đề bắt nguồn từ năm 2014, khi quá trình chuyển đổi (migration) sang máy chủ Trunk đã khiến hàng nghìn package không rõ chủ sở hữu (hoặc chưa được xác nhận), cho phép kẻ tấn công sử dụng API công khai để xác nhận chủ sở hữu các pod và địa chỉ email có trong mã nguồn CocoaPods ("unclaimed-pods@cocoapods.org") để chiếm quyền kiểm soát.
Lỗ hổng thứ hai thậm chí còn nghiêm trọng hơn (có mã định danh là CVE-2024-38366, điểm CVSS: 10.0), cho phép kẻ tấn công lợi dụng quy trình xác minh email không an toàn để thực thi mã tùy ý trên máy chủ Trunk, sau đó có thể được sử dụng để thao túng hoặc thay thế các package.
Lỗ hổng thứ 3 cũng được phát hiện trong thành phần xác minh địa chỉ email của dịch vụ này (có mã định danh là CVE-2024-38367, điểm CVSS: 8,2), có thể bị khai thác để đánh lừa người nhận truy cập vào liên kết xác minh trông có vẻ vô hại, nhưng thực tế, nó chuyển hướng yêu cầu đến miền do kẻ tấn công kiểm soát để có quyền truy cập vào mã xác thực phiên của nhà phát triển.
Nguy hiểm hơn, điều này có thể được nâng cấp thành cuộc tấn công chiếm đoạt tài khoản không cần nhấp chuột bằng cách giả mạo tiêu đề HTTP - tức là sửa đổi trường tiêu đề X-Forwarded-Host - và lợi dụng các công cụ bảo mật email được cấu hình không an toàn.
Với việc nhiều ứng dụng có quyền truy cập vào thông tin nhạy cảm của người dùng như thẻ tín dụng, hồ sơ y tế, tài liệu riêng tư, hacker có thể lợi dụng lỗ hổng, cài ransomware hoặc các loại mã độc khác để thu thập chúng.
Cũng theo nhóm nghiên cứu, Apple là "trung tâm của mớ hỗn độn" khi đa số ứng dụng iOS và macOS đều được mã hóa bằng ngôn ngữ Swift và Objective-C, gồm cả những cái tên phổ biến như TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger. Do đó, hàng nghìn ứng dụng trên các nền tảng này có thể bị ảnh hưởng và "một cuộc tấn công vào hệ sinh thái ứng dụng di động có thể lây nhiễm cho hầu hết thiết bị của Apple, khiến hàng nghìn tổ chức dễ bị tổn thương về mặt tài chính và danh tiếng".
Theo Tạp chí An toàn thông tin
