Mr_R1p Feb 1 at 11:03

Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений

11 min

5.1K

Swordfish Security corporate blogInformation Security*Java*Development of mobile applications*

+22

Comments 16

terrakok Feb 1 at 14:55

Это потребует достаточно много усилий по первоначальному заполнению файла

Почему? Одной команды достаточно: ./gradlew --write-verification-metadata pgp,sha256

Mr_R1p Feb 2 at 17:10

Спасибо большое за дополнение и за команду! Да, действительно, получается, что сгенерировать этот файл относительно легко.

Но мне кажется, что тут основная работа - это убедиться, что там уже нет скомпрометированных библиотек и следить за этим файлом во время обновления библиотек (если они не меняются, то наверное и вполне резонно его использовать).

Zwieback Feb 2 at 09:54

Кажется, о подобном типе атак писали еще 3 года назад:

https://www.opennet.ru/opennews/art.shtml?num=54566

Mr_R1p Feb 2 at 17:05

Добрый день!

Атака похожа, но все-таки отличается, в той атаке был смысл во внутренних библиотеках, которые разрабатывались и хранились внутри компании и не были доступны публично. И если первым стоял публичный репозиторий, то он пытался скачать их оттуда.

Но безусловно сходство есть, влияние расположения репозиториев в файле сборки.

srzybnev Feb 2 at 16:25

Шикарная статья!

Mr_R1p Feb 2 at 17:06

Спасибо!

VadimChes Feb 4 at 11:15

Итак, мы возвращаемся к Ant :)

GreyN Feb 6 at 01:28

нет. возвращаемся к заявлению в "первый отдел" для обновления версии библиотеки. и, конечно, это все "ради вашей же безопастности"

ermadmi78 Feb 11 at 17:30

Вот очень хотелось бы как нибудь без этого обойтись. Нужны инженерные, а не административно-силовые методы решения этой проблемы. Потому что сидеть на старых версиях библиотек - тоже весьма и весьма небезопасное занятие :(

Mr_R1p Feb 17 at 20:47

Полностью согласен.

Но на мой взгляд, техническое решение есть. Для начала проверить, что в проекте нет зависимостей со свободными доменами, избавиться от них (если нашли) и в дальнейшем проверять подключаемые библиотеки. Причем, как на эту атаку, так и просто на уязвимости.

Благо технические средства для этого уже есть. Как минимум для мобильных приложений мы уже выпустили подобный функционал.

Protos Feb 9 at 18:18

Красным выделил индикаторы данной уязвимости у Jfrog Xray.

Jfrog Xray Scan/Audit показывает у нас так:

Jfrog Xray отчет:

Mr_R1p Feb 9 at 20:09

молодцы они, быстро сориентировались :)

Мы тоже сегодня выпустили релиз, который позволяет идентифицировать библиотеки, подверженные этой атаке. Правда, мы разделили на два типа проблем, библиотеки со свободными доменами и с доменами, которые были куплены после выхода информации об атаке.

И это для мобильных приложений.

Protos Feb 10 at 12:31

Они правда реализовали это не совсем понятно ибо в конвейере вообще не понятно, что за уязвимость, что разрабов ввело в замешательство, как видно из скриншота нет никакой информации об уязвимости в консоли конвейера. При просмотре же уязвимостей у билда в Artifactory она не отображалась из-за настроенных у нас watches, но при выгрузке pdf отчета она отображается… Возможно, поправят в скором времени.

Mr_R1p Feb 17 at 20:48

Думаю что поправят. Скорее всего добавили на скорую руку для быстроты.

Но да, информация предоставлена не лучшим образом, сходу не разберешься.

ermadmi78 Feb 11 at 17:22

ИМХО - реально серьёзная проблема. Отслеживать правообладателей доменов 100500 open source библиотек, используемых в проекте... Да еще и транзитивных зависимостей... Самому, в одиночку, просто нереально :( Тут со стороны сообщества нужно вырабатывать защитный механизм.

Mr_R1p Feb 17 at 20:51

Полностью согласен, поэтому и написал эту статью, так как мне показалось, что данная атака была недостаточно раскрыта и недооценена.

Или комьюнити или инструмент, который по SBOM позволит сказать, какие проблемные компоненты есть в приложении.

Как минимум для мобильных приложений мы уже выпустили подобный функционал. Думаю, что и для Java появится в скором времени что-то подобное.