Румынский исследователь безопасности Алекс Бирсан обнаружил уязвимость, которая позволяет хакерам запускать произвольный код на серверах разных технологических компаний, включая Microsoft, Apple, PayPal, Netflix, Tesla и Uber, пишет Gizmodo.
В процессе разработки компании используют как опенсорсный код, так и приватные пакеты, которые предназначены только для их разработчиков. Бирсан выяснил, что если узнать названия приватных пакетов (что оказалось несложно) и поместить собственный код в пакеты с такими же именами в публичных репозиториях, то автоматизированные инструменты компаний вместо внутренних будут загружать и запускать код из публичных пакетов, отдавая приоритет более высокой версии независимо от того, публичная она или приватная.
К настоящему моменту Бирсан нашёл более 35 компаний, подверженных таким атакам, большинство из них со штатом более тысячи человек. Уязвимость была проверена на трёх языках: Python, Ruby и Java.
О находке Бирсан подробно рассказал в блоге. Она уже принесла ему более $130 тысяч в виде выплат по программам вознаграждения. Большинство компаний, с которыми исследователь связался по поводу эксплойта, быстро закрыли брешь, а Microsoft выпустила инструкцию по защите от подобных атак для системных администраторов.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.