مرکز آپا دانشگاه کردستان

شناسایی آسیب‌پذیری اجرای کد از راه دور در مخزن PyPI پایتون

در سالهای اخیر توسعه‌دهندگان از مخزن PyPI پایتون بسیار استفاده کرده‌اند ولی با وجود اینکه برای این مخزن فیلترهای امنیتی وجود دارد اما هنوز هیچ سیاست شفافی برای ارزیابی آسیب‌پذیری و سیاست‌های امنیتی در آن وجود ندارد. به تازگی، اپراتورهای مخزن رسمی پکیج پایتون (PyPI) 8 کتابخانه حاوی کد مخرب را حذف کرده‌اند. در چند روز اخیر نیز توسعه‌دهندگان PyPI سه آسیب‌پذیری بحرانی را برطرف کرده اند که یکی از آن ها به عوامل تهدید اجازه می دهد کنترل کامل پورتال را در دست بگیرند. همه این آسیب پذیری ها توسط یک تحلیلگر مشهور امنیت سایبری ژاپنی، RyotaK شناسایی شد. او کسی است که اخیراً یک خطا در Cloudflare CDNJS گزارش کرده است که به هر مهاجمی اجازه می دهد کد مخرب را در همه وب سایت های آسیب پذیر اجرا کند. جدا از این، RyotaK کدهای PyPI موجود در GitHub را تجزیه و تحلیل کرد و مشخص کرد که اگر این سه آسیب پذیری توسط هکرها مورد بهره برداری قرار گیرد، آن ها می توانند کارهای زیر را انجام دهند: • فایل های اسناد را از پروژه های دیگران حذف کنند. • حذف نقش ها در پروژه های دیگران. • دستورات bash را در خود کدهای (پایگاه کد) PyPI با استفاده از GitHub Actions اجرا کند. لیستی از سه آسیب‌پذیری گزارش شده: - آسیب‌پذیری در حذف سند قدیمی در PyPI محقق امنیتی این آسیب پذیری را تشخیص داده است و این نقص امنیتی در مکانیسم های حذف ابزارهای استقرار میزبانی اسناد قدیمی در PyPI قابل بهره برداری است. این نقص امنیتی به هکر اجازه می دهد تا اسناد پروژه هایی را که تحت کنترل آن ها نیست حذف کند. در حالی که RyotaK این نقص امنیتی را در تاریخ 25-07-2021 از طریق گزارش نقص امنیتی در سایت PyPI.org گزارش کرد و به عنوان پاداش، 1000 دلار دریافت کرد. - آسیب‌پذیری در حذف نقش در PyPI این محقق امنیتی این آسیب‌پذیری قابل بهره برداری را شناسایی کرده است که در مکانیسم‌های حذف نقش‌ها در PyPI وجود دارد. این آسیب پذیری به مهاجم اجازه می دهد تا تمام نقش های پروژه هایی را که تحت کنترل آن ها نیست حذف کند. در حالی که جدا از این، RyotaK این نقص امنیتی را در 26-07-2021 از طریق گزارش نقص امنیتی در سایت PyPI.org گزارش کرد و به عنوان پاداش، 1000 دلار دریافت کرد. - آسیب‌پذیری در جریان کاری GitHub Actions برای PyPI در جریان کاری GitHub Actions برای مخزن منبع PyPI، این محقق امنیتی این آسیب پذیری بحرانی قابل بهره برداری را شناسایی کرده است. در حالی که این آسیب پذیری بحرانی می تواند به یک عامل تهدید اجازه دهد تا مجوز نوشتن را بر روی مخزن pypa/warehouse کسب کند. جدا از این، تحلیلگر امنیتی، RyotaK این نقص امنیتی را در تاریخ 27-07-2021 از طریق گزارش نقص امنیتی در سایت PyPI.org گزارش کرد و به عنوان پاداش، 1000 دلار دریافت کرد. در بین این سه آسیب‌پذیری، مورد سوم بسیار مهم‌تر و بحرانی‌تر از سایرین بود، زیرا به مهاجم اجازه می‌دهد دستوراتی را در زیرساخت PyPI برای جمع‌آوری توکن‌ها یا اطلاعات حساس دیگر از پایگاه کد اجرا کند. تهیه و تدوین: تینا احمدی