CocoaPods 严重漏洞导致 iOS 和 macOS 应用易受供应链攻击
编译:代码卫士
以色列E.V.A Information Security公司的安全研究员 Reef Spektor 和 Eran Vaknin 在一份报告中提到,这些漏洞可导致“任何恶意人员获得数千个未声明pod 的所有权,并将恶意代码注入到很多最流行的iOS 和 macOS 应用程序中。”该公司指出,这些漏洞已由 CocoaPods 在2023年10月修复,并在当时重置了所有的用户会话。
其中一个漏洞是CVE-2024-38368(CVSS评分9.3),可导致攻击者滥用 “声明你的 Pods (Claim Your Pods)” 进程并控制包,从而篡改源代码并引入恶意变更。不过,它要求所有之前的维护人员已被删除。
该漏洞的根因可追溯至2014年,当时迁移到 Trunk 服务器导致数千个包拥有未知(或未声明的)所有人,使攻击者通过公开API声明 pod,CocoaPods 源代码 ("unclaimed-pods@cocoapods.org") 中的一个邮件地址就能接管控制。
第二个漏洞更为严重(CVE-2024-38366,CVSS评分10),攻击者可利用不安全的邮件验证工作流,在 Trunk 服务器上运行任意代码,之后用于操纵或替换这些包。
该服务中的第二个问题存在于邮件地址验证组件中(CVE-2024-38367,CVSS评分8.2),它诱骗收件人点击看似无害的验证链接,而实际上会将请求重新路由到受攻击者控制的域名,获得对开发者会话令牌的访问权限。更糟糕的是,可通过欺骗HTTP 标头即修改 X-Forwarded-Host 标头字段,升级为零点击账户接管攻击,并利用配置不当的邮件安全工具。
研究人员表示,“我们发现几乎每个pod的所有人在 Trunk 服务器上注册自己的组织机构邮件,使得他们易受零点击接管漏洞利用攻击。”
这并非 CocoaPods 首次被扫描到。2023年3月,Checkmarx 公司披露称,与依赖管理器 (“cdn2.cocoapods[.]org”) 存在关联的被弃用子域名可被攻击者通过 GitHub Pages 劫持,目的是托管其多个 payload。
利用 CocoaPods 服务器中的一个 RCE 漏洞,投毒数百万款app
Rapid7:0day攻击和供应链攻陷剧增,MFA利用率仍较低
https://thehackernews.com/2024/07/critical-flaws-in-cocoapods-expose-ios.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。