Разоблачена уязвимость в Cordova App Harness: хакерам доступна чужая ПО-цепочка

Открытая недавно уязвимость Dependency Confusion в проекте Apache Cordova App Harness, который не поддерживается уже пять лет, может привести к серьезным последствиям для цепочек поставок программного обеспечения. Эта уязвимость позволяет хакерам подменять надежные пакеты программными продуктами с поддельными репозиториев, угрожая безопасности всех пользователей, которые устанавливают такие пакеты.

По данным исследовательской компании Orca, примерно у половины всех организаций есть риск столкнуться с такого рода атаками. В то время как разработчики npm и других систем управления пакетами стараются минимизировать эти угрозы, специалисты из Legit Security выяснили, что проект Cordova App Harness остается уязвимым из-за некорректно настроенных внутренних путей к файлам зависимостей.

Поддержка проекта была прекращена Apache Software Foundation в апреле 2019 года, но уязвимости оставались неисправленными. Находящаяся в обращении поддельная версия пакета была загружена более ста раз на платформе npm, что свидетельствует о том, что разработчики продолжают пользоваться этими ресурсами, возможно, не зная о связанных с ними рисках.

Для предотвращения дальнейших атак команда безопасности Apache взяла под контроль пакет cordova-harness-client. Также рекомендуется, чтобы разработчики создавали публичные заглушки для пакетов, чтобы избежать эксплуатации уязвимости.