dans

Les systèmes internes de Microsoft, Apple, Netflix, Tesla et 31 autres sociétés ont été découverts avec une vulnérabilité de sécurité

Un chercheur en sécurité récemment découvert une vulnérabilité qui lui a permis d’accéder au système interne de 35 entreprises – qui comprend des géants de la technologie comme Microsoft, Apple, Netflix, Tesla, Uber et PayPal – dans une nouvelle attaque de la chaîne d’approvisionnement de logiciels. Pour l’attaque, le chercheur a téléchargé des logiciels malveillants dans des référentiels open source, notamment PyPI, npm et RubyGems, qui ont ensuite été automatiquement distribués en aval dans les applications internes de l’entreprise. L’attaque particulière de la chaîne d’approvisionnement exploite une faille de conception unique des écosystèmes open source – appelée confusion de dépendance – et ne nécessite aucune action de la victime, qui reçoit automatiquement les paquets malveillants.

Le rapport sur la vulnérabilité découverte par le chercheur, Alex Birsan, était le premier signalé par Ordinateur Bleeping.

Birsan a utilisé le DNS pour exfiltrer les données afin de contourner la détection.

  Les systèmes internes de Microsoft, Apple, Netflix, Tesla et 31 autres sociétés ont été découverts avec une vulnérabilité de sécurité

Image représentative

En utilisant cette technique, Birsan a exécuté une attaque réussie de la chaîne d’approvisionnement contre Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp et Uber simplement en publiant des packages publics utilisant le même nom que ceux internes de l’entreprise.

« Je pense que la confusion des dépendances est assez différente du typosquatting ou du brandjacking, car elle ne nécessite pas nécessairement une quelconque intervention manuelle de la part de la victime … Au contraire, des vulnérabilités ou des défauts de conception dans les outils de construction ou d’installation automatisés peuvent entraîner une erreur de dépendance publique. dépendances internes avec exactement le même nom », a déclaré Birsan.

A lire :  La série Hawkeye Disney + de Marvel fera ses débuts à la fin de 2021, distribution complète annoncée

Le chercheur a gagné plus de 130 000 € en primes de bogues pour sa recherche éthique. Microsoft lui a décerné sa prime de bogue la plus élevée de 40 000 €. PayPal a révélé qu’il accorderait à Birsan une prime de 30 000 €. Une autre récompense de 30 000 € est venue d’Apple.

Birsan a ajouté que Shopify avait attribué une prime de bogue de 30000 € pour avoir trouvé le problème.

Tesla et d’autres entreprises l’ont également récompensé avec leurs programmes de primes spécifiques.

.

45secondes est un nouveau média, n’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🙂

  • moto-detail Sac polochon Moto-Detail avec Système sac à dos moto-detail
    Sac polochon moto-detail avec système sac à dos Sac polochon innovant dont les différents éléments ont été liés les uns aux autres par soudure haute fréquence pour une capacité de charge et une étanchéité accrues. Peut être transporté sûrement et confortablement sur le dos grâce à un système de transport
  • K&N; système d'admission d'air Yamaha XV 950 Bolt pour Moto
    Système d'admission d'air K&N; Yamaha XV 950 Bolt La société K&N; a spécialement développé ces caissons de filtre à air pour plus de puissance, pour un design élégant et pour une grande longévité. Des entonnoirs d'admission d'air ont été intégrés dans la plaque de fond spécialement pour ces caissons de
  • K&N; système d'admission d'air Yamaha XV 950 Bolt pour Moto
    Système d'admission d'air K&N; Yamaha XV 950 Bolt La société K&N; a spécialement développé ces caissons de filtre à air pour plus de puissance, pour un design élégant et pour une grande longévité. Des entonnoirs d'admission d'air ont été intégrés dans la plaque de fond spécialement pour ces caissons de