Se han descubierto un trío de vulnerabilidades de seguridad en el mazorcas de cacao administrador de dependencia para proyectos Swift y Objective-C Cocoa que podrían explotarse para realizar ataques a la cadena de suministro de software, exponiendo a los clientes intermedios a riesgos graves.
Las vulnerabilidades permiten que “cualquier actor malicioso reclame la propiedad de miles de pods no reclamados e inserte código malicioso en muchas de las aplicaciones iOS y macOS más populares”, dijeron Reef Spektor y Eran Vaknin, investigadores de seguridad de la información de EVA. dicho en un informe publicado hoy.
La empresa israelí de seguridad de aplicaciones dijo que los tres problemas ya se han resuelto. corregido por CocoaPods a partir de octubre de 2023. También restablece todas las sesiones de usuario en ese momento en respuesta a las divulgaciones.
Una de las vulnerabilidades es CVE-2024-38368 (puntuación CVSS: 9,3), que permite a un atacante abusar del «Reclama tus cápsulas» procesan y toman el control de un paquete, lo que les permite alterar el código fuente e introducir cambios maliciosos. Sin embargo, esto requería que todos los mantenedores anteriores hubieran sido eliminados del proyecto.
Las raíces del problema se remontan a 2014, cuando se produjo una migración a Servidor de enlace dejó miles de paquetes con extraños (o no reclamado) patentado, lo que permite a un atacante utilizar una API pública para reclamar pods y una dirección de correo electrónico disponible en el código fuente de CocoaPods (“unclaimed-pods@cocoapods.org”) para tomar el control.
El segundo error es aún más crítico (CVE-2024-38366, puntuación CVSS: 10.0) y explota un flujo de trabajo de verificación de correo electrónico inseguro para ejecutar código arbitrario en el servidor Trunk, que luego podría usarse para manipular o reemplazar paquetes.
También se identificó un segundo problema en el servicio en el componente de verificación de dirección de correo electrónico (CVE-2024-38367, puntuación CVSS: 8.2) que podría engañar a un destinatario para que haga clic en un enlace de verificación aparentemente inofensivo, cuando en realidad redirige la solicitud a un atacante. -dominio controlado para acceder a los tokens de sesión de un desarrollador.
Para empeorar las cosas, esto puede convertirse en un ataque de apropiación de cuenta sin hacer clic falsificando un encabezado HTTP, es decir, modificando el Anfitrión transferido campo de encabezado y aprovechar herramientas de seguridad de correo electrónico mal configuradas.
«Descubrimos que casi todos los propietarios de pods están registrados con el correo electrónico de su organización en el servidor Trunk, lo que los hace vulnerables a nuestra vulnerabilidad de adquisición sin clic», dijeron los investigadores.
Esta no es la primera vez que CocoaPods pasa por el escáner. En marzo de 2023, Checkmarx reveló que un subdominio abandonado asociado con el administrador de dependencias («cdn2.cocoapods[.]“org”) podría haber sido secuestrado por un adversario a través de páginas de GitHub en un intento de alojar sus cargas útiles.