Last Updated on 2024-09-18 05:15 by admin
研究者たちは、アーカイブされたApacheプロジェクトであるCordova App Harnessに影響を与える依存関係混乱の脆弱性を特定した。依存関係混乱攻撃は、パッケージマネージャーがプライベートレジストリよりも公開リポジトリを先にチェックするために発生し、攻撃者が同じ名前の悪意のあるパッケージを公開パッケージリポジトリに公開することを可能にする。これにより、パッケージマネージャーが意図したプライベートリポジトリの代わりに公開リポジトリから詐欺的なパッケージを誤ってダウンロードすることになる。成功すると、パッケージをインストールするすべての下流の顧客に深刻な影響を与える可能性がある。2023年5月の分析では、クラウド環境に保存されたnpmおよびPyPIパッケージの約49%の組織が依存関係混乱攻撃に対して脆弱であることが明らかになった。npmなどのパッケージマネージャーは以降、プライベートバージョンを優先する修正を導入しているが、アプリケーションセキュリティ会社Legit Securityは、Cordova App Harnessプロジェクトが相対ファイルパスなしでcordova-harness-clientという内部依存関係を参照していることを発見した。このオープンソースイニシアチブは、2019年4月18日にApache Software Foundation (ASF)によって中止された。Legit Securityが示したように、これは悪意のあるバージョンを同じ名前でより高いバージョン番号でアップロードすることにより、npmが公開レジストリから偽のバージョンを取得するようにすることで、サプライチェーン攻撃のための扉を大きく開けた。npmにアップロードされた後、偽のパッケージが100回以上ダウンロードされたことは、アーカイブされたプロジェクトが依然として使用されており、ユーザーに深刻なリスクをもたらす可能性があることを示している。Apacheセキュリティチームは、cordova-harness-clientパッケージの所有権を取得することで問題に対処している。組織は、依存関係混乱攻撃を防ぐために公開パッケージをプレースホルダーとして作成することが推奨されている。セキュリティ研究者Ofek Havivは、「この発見は、第三者のプロジェクトと依存関係をソフトウェア開発工場の潜在的な弱点として考慮する必要性を強調している。特に定期的な更新やセキュリティパッチを受け取らないアーカイブされたオープンソースプロジェクトは、注意を払われず、修正される可能性が低い脆弱性を抱えていることが多い」と述べている。
【ニュース解説】
アーカイブされたApacheプロジェクトであるCordova App Harnessが、依存関係混乱攻撃の対象となったことが研究者によって特定されました。この攻撃は、パッケージマネージャーが公開リポジトリをプライベートレジストリよりも先にチェックすることで発生し、攻撃者が公開パッケージリポジトリに同じ名前の悪意あるパッケージを公開することで、パッケージマネージャーが意図せずに公開リポジトリから詐欺的なパッケージをダウンロードしてしまうというものです。この問題は、Apache Software Foundationによって2019年に中止されたにもかかわらず、Cordova App Harnessプロジェクトにおいて発見されました。
依存関係混乱攻撃は、セキュリティの観点から見ると、ソフトウェアのサプライチェーンにおける重大な脅威の一つです。攻撃者が悪意あるコードを含むパッケージを公開し、それが開発者によって無意識のうちに使用されることで、悪意あるコードがソフトウェアアプリケーション内に組み込まれ、最終的にはエンドユーザーのシステムに損害を与える可能性があります。このような攻撃は、特にオープンソースプロジェクトやアーカイブされたプロジェクトにおいて、定期的なセキュリティ更新やパッチが適用されないことから、リスクが高まります。
この問題に対処するため、Apacheセキュリティチームはcordova-harness-clientパッケージの所有権を取得しました。また、組織には、依存関係混乱攻撃を防ぐために公開パッケージをプレースホルダーとして作成することが推奨されています。このような対策は、攻撃者が悪意あるパッケージを公開することを防ぐためのものです。
この事件は、ソフトウェア開発におけるサプライチェーンのセキュリティがいかに重要であるかを示しています。開発者は、使用する依存関係やライブラリの安全性を常に確認し、可能であれば信頼できるソースからのみコードを取得する必要があります。また、アーカイブされたプロジェクトや定期的な更新が行われないプロジェクトは、潜在的なセキュリティリスクを抱えている可能性があるため、特に注意が必要です。
このような攻撃から保護するためには、開発者や組織がセキュリティ意識を高め、ソフトウェアの依存関係管理において最善の実践を適用することが不可欠です。また、セキュリティ研究者やコミュニティとの連携を通じて、新たな脅威に迅速に対応し、ソフトウェアの安全性を維持することが求められます。
from Apache Cordova App Harness Targeted in Dependency Confusion Attack.