Gli specialisti di GitHub parlano delle due vulnerabilità di NPM.

Redazione RHC : 18 Novembre 2021 07:27

La società madre di npm (Node Package Manager), GitHub, ha segnalato due gravi vulnerabilità identificate nel gestore di pacchetti JavaScript nell’ottobre-novembre di quest’anno.

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il primo è il più grave dei bug, che i ricercatori della sicurezza informatica hanno segnalato agli sviluppatori tramite il programma di bug bounty di GitHub all’inizio di novembre. Tale bug consente a un utente malintenzionato di pubblicare una nuova versione di qualsiasi pacchetto npm utilizzando un account senza la corretta autorizzazione.

La vulnerabilità derivava dall’incoerenza nell’autorizzazione e nei controlli dei dati tra diversi microservizi che elaborano le richieste in npm.

“In questa architettura, il servizio di autorizzazione verifica correttamente l’autorizzazione dell’utente per i pacchetti in base ai dati passati nei percorsi url della richiesta”.

Ha spiegato Mike Hanley, Chief Security Officer di GitHub.

“Ma esiste una incoerenza nel servizio di pubblicazione che dà la possibilità a un pacchetto non autorizzato di pubblicare nuove versioni di software. Abbiamo affrontato questo problema garantendo la coerenza tra i servizi di pubblicazione e autorizzazione per consentire che lo stesso pacchetto venga utilizzato sia per l’autorizzazione che per la pubblicazione”.

Gli sviluppatori scrivono che non ci sono prove di sfruttamento di questo bug al momento.

Ma allo stesso tempo, gli esperti ammettono che non è possibile escludere categoricamente lo sfruttamento attivo per gli scarsi dati di telemetria a disposizione.

La seconda vulnerabilità era relativa alla fuga dei nomi dei pacchetti npm privati ​​(ma non del loro contenuto), avvenuta attraverso il server di replica npmjs.com, da cui i servizi di terze parti ricevono i dati.

La perdita ha interessato le librerie npm private create prima del 20 ottobre.

“Durante la manutenzione del database che mantiene la replica pubblica di npm su replicate.npmjs.com, sono stati creati record che potrebbero rivelare i nomi dei pacchetti privati”

spiega Hanley.

“Per un breve periodo, questo ha permesso ai consumatori di replicate.npmjs.com di apprendere i nomi dei pacchetti privati ​​dai post pubblicati nel feed pubblico delle modifiche. Nessun’altra informazione, compreso il contenuto di questi pacchetti privati, era di fatto disponibile.”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli