Les chercheurs ont révélé des détails sur une faille de sécurité de haute gravité désormais corrigée dans Packagist, un référentiel de packages logiciels PHP, qui aurait pu être exploitée pour monter des attaques de chaîne d’approvisionnement logicielle.
« Cette vulnérabilité permet de prendre le contrôle de Emballeur« , Thomas Chauchefoin, chercheur à SonarSource a dit dans un rapport partagé avec The Hacker News. Packagist est utilisé par le gestionnaire de packages PHP Composer pour déterminer et télécharger les dépendances logicielles incluses par les développeurs dans leurs projets.
La divulgation intervient alors que l’implantation de logiciels malveillants dans des référentiels open source se transforme en un canal attrayant pour le montage d’attaques de la chaîne d’approvisionnement logicielle.
Suivi comme CVE-2022-24828 (score CVSS : 8,8), la publier a été décrit comme un cas d’injection de commande et est lié à un autre bogue Composer similaire (CVE-2021-29472) qui a été révélé en avril 2021, suggérant un correctif inadéquat.
« Un attaquant contrôlant un référentiel Git ou Mercurial explicitement répertorié par URL dans le dossier d’un projet compositeur.json peut utiliser des noms de branche spécialement conçus pour exécuter des commandes sur la machine exécutant la mise à jour du compositeur, » Packagist divulgué dans un avis d’avril 2022.
Une exploitation réussie de la faille signifiait que les demandes de mise à jour d’un paquet auraient pu être détournées pour distribuer des dépendances malveillantes en exécutant des commandes arbitraires sur le serveur principal exécutant l’instance officielle de Packagist.
« Compromis [the backend services] permettrait aux attaquants de forcer les utilisateurs à télécharger des dépendances logicielles dérobées la prochaine fois qu’ils effectueraient une nouvelle installation ou une mise à jour d’un package Composer », a expliqué Chauchefoin.
Cela dit, rien ne prouve que la vulnérabilité ait été exploitée à ce jour. Des correctifs ont été déployés dans les versions 1.10.26, 2.2.12 et 2.3.5 de Composer après que SonarSource a signalé la faille le 7 avril 2022.
Le code open source est devenu de plus en plus une cible lucrative de choix pour les acteurs de la menace en raison de la facilité avec laquelle ils peuvent être utilisés comme armes contre la chaîne d’approvisionnement des logiciels.
Plus tôt en avril, SonarSource a également détaillé une faille de sécurité vieille de 15 ans dans le référentiel PHP PEAR qui pourrait permettre à un attaquant d’obtenir un accès non autorisé, de publier des packages malveillants et d’exécuter du code arbitraire.
« Bien que les chaînes d’approvisionnement puissent prendre différentes formes, l’une d’entre elles a beaucoup plus d’impact : en accédant aux serveurs distribuant ces composants logiciels tiers, les pirates peuvent les modifier pour prendre pied dans les systèmes de leurs utilisateurs », a déclaré Chauchefoin. .