Security Week 2427: атака на цепочку поставок через библиотеку Polyfill

На прошлой неделе сразу несколько источников сообщили о компрометации ресурса polyfill.io, раздающего одноименную JavaScript-библиотеку для обеспечения совместимости с устаревшими браузерами (новость, статья на сайте Sansec и ее перевод на Хабре). Библиотека Polyfill распространяется свободно, и ее подгрузка с данного конкретного сайта — не единственный вариант использования. Тем не менее более ста тысяч сайтов подгружали ее именно с polyfill.io, несмотря на предупреждения от бывших разработчиков еще в феврале этого года.

Оригинальный репозиторий Polyfill на GitHub и домен polyfill.io были проданы в конце февраля малоизвестной компании Funnull. Уже тогда высказывались сомнения о безопасности дальнейшего использования библиотеки при ее загрузке с данного URL и предлагались альтернативные источники (помимо варианта self-hosted). Опасения стали реальностью на прошлой неделе: в библиотеку был добавлен код, вызывающий перенаправление на другие веб-сайты через URL, указанные в списке на скриншоте выше. Среди пострадавших веб-сайтов — библиотека JSTOR, сайт компании Intuit, британская газета Metro и многие другие.

Данный инцидент может быть квалифицирован как типичная атака на цепочку поставок: поставщик технического решения для совместимости со старыми браузерами в какой-то момент начал вредоносную деятельность. По нему можно оценить последствия такой атаки для пострадавших веб-разработчиков. В частности, компания Google оперативно разослала жертвам письмо с рекомендацией удалить ссылки на polyfill.io и превентивно отключила показ рекламы. Для клиентов сервиса Cloudflare был включен автоматический редирект с вредоносного URL на форк библиотеки, который поддерживает сам Cloudflare. 27 июня домен polyfill.io был отключен регистратором Namecheap.

Новые владельцы polyfill.io выпустили довольно мутное опровержение, утверждая, что «риска атаки supply chain нет». После этого хостинг библиотеки был перенесен на другой домен трижды, так как вновь создаваемые адреса также блокировались регистратором. Помимо Cloudflare, оригинальная библиотека Polyfill также раздается сервисом Fastly. Позднее было обнаружено, что новый оператор polyfill.io также контролирует сервисы BootCDN, Bootcss и Staticfile, которые тоже могут быть скомпрометированы.

Что еще произошло

Эксперты «Лаборатории Касперского» продолжают исследовать код бэкдора XZ Utils, еще одной громкой попытки внести вредоносную функциональность в популярное ПО с открытым исходным кодом. В новой публикации — подробный разбор собственно функциональности бэкдора, которая позволяет залогиниться на уязвимый сервер с произвольным ключом или паролем. Еще одна публикация «Лаборатории Касперского» исследует распространенные киберугрозы для малого бизнеса.

Издание 404 Media пишет о грубой ошибке разработчиков аппаратного ИИ-ассистента Rabbit R1. В код помощника были зашиты фиксированные ключи для доступа к различным сервисам, что позволяет злоумышленникам, например, получить историю общения всех пользователей с устройством. Ключи были отозваны, причем так, что это привело к временной неработоспособности устройств Rabbit.

В наушниках Airpods была обнаружена и закрыта уязвимость, которая позволяла подключаться к устройству без авторизации, если потенциальному злоумышленнику известен MAC-адрес.

Скомпрометирована инфраструктура сервиса удаленного доступа TeamViewer.

Новая критическая уязвимость обнаружена в корпоративном решении для обмена файлами MOVEit. Проблема в модуле SFTP имеет рейтинг 9,1 по шкале CVSS и позволяет обойти систему авторизации.

В свежем обновлении браузера Chrome закрыты четыре серьезных уязвимости типа use-after-free, теоретически позволяющие выполнять произвольный код.

Еще одна атака класса supply chain обнаружена в ряде плагинов для WordPress. В официальные обновления для плагинов Social Warfare, Wrapper Link Elementor и других был добавлен вредоносный код.