Фото: robert coolen / Shutterstock
Одна из уязвимостей, обозначенная как CVE-2024-38368, получила оценку 9,3 по шкале CVSS и позволяет злоумышленникам получать контроль над программными пакетами через процесс “Claim Your Pods”. Проблема исходит еще с 2014 года, когда миграция на сервер Trunk оставила тысячи пакетов без владельцев, что открыло доступ к общедоступному API и адресам электронной почты для возможного захвата.
Другая уязвимость, CVE-2024-38366, оценена максимальными 10 баллами и связана с небезопасным механизмом верификации электронной почты, позволяющим злоумышленникам выполнить произвольный код на сервере и заменить целевые пакеты программного обеспечения.
Третья уязвимость, CVE-2024-38367 с оценкой 8,2 балла, позволяет злоумышленникам манипулировать процессом верификации электронной почты для перенаправления запросов на вредоносные домены и кражи токенов сессии, что может привести к атакам без вмешательства пользователя.
Команда разработчиков CocoaPods оперативно отреагировала на угрозы, выпустив обновления для исправления уязвимостей еще в октябре 2023 года и проведя сброс сессий всех пользователей для предотвращения возможных атак. Однако информация о проблеме стала известна широкой общественности только в начале июля текущего года.
Эксперты EVA Information Security также обратили внимание, что CocoaPods уже ранее становился объектом атак. В 2021 году разработчики подтвердили наличие уязвимости, позволяющей выполнение произвольного кода на серверах, управляющих репозиториями, что могло привести к замене действующих пакетов на злонамеренные версии.
Разработчикам приложений для iOS и macOS, использующим CocoaPods, рекомендуется регулярно проверять зависимости и проводить сканирование на наличие вредоносного кода во всех внешних библиотеках. Эти меры необходимы для обеспечения безопасности при интеграции стороннего кода в свои приложения.
Ситуация с уязвимостями в CocoaPods подчеркивает важность внимания к безопасности в разработке приложений для экосистемы Apple и необходимость оперативного реагирования на обнаруженные уязвимости.
Как отмечают исследователи, уязвимости, обнаруженные в CocoaPods и исправленные в октябре прошлого года, оставались необнаруженными на протяжении десятилетия, что делало тысячи приложений для macOS и iOS уязвимыми перед потенциальными атаками на поставки. Хакеры могли бы добавить зловредный код, компрометирующий безопасность миллионов или миллиардов пользователей, установивших их.
Источник: EVA Information Security
Источник новости: www.it-world.ru