聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
以色列E.V.A Information Security公司的安全研究员 Reef Spektor 和 Eran Vaknin 在一份报告中提到,这些漏洞可导致“任何恶意人员获得数千个未声明pod 的所有权,并将恶意代码注入到很多最流行的iOS 和 macOS 应用程序中。”该公司指出,这些漏洞已由 CocoaPods 在2023年10月修复,并在当时重置了所有的用户会话。
其中一个漏洞是CVE-2024-38368(CVSS评分9.3),可导致攻击者滥用 “声明你的 Pods (Claim Your Pods)” 进程并控制包,从而篡改源代码并引入恶意变更。不过,它要求所有之前的维护人员已被删除。
该漏洞的根因可追溯至2014年,当时迁移到 Trunk 服务器导致数千个包拥有未知(或未声明的)所有人,使攻击者通过公开API声明 pod,CocoaPods 源代码 ("unclaimed-pods@cocoapods.org") 中的一个邮件地址就能接管控制。
第二个漏洞更为严重(CVE-2024-38366,CVSS评分10),攻击者可利用不安全的邮件验证工作流,在 Trunk 服务器上运行任意代码,之后用于操纵或替换这些包。
该服务中的第二个问题存在于邮件地址验证组件中(CVE-2024-38367,CVSS评分8.2),它诱骗收件人点击看似无害的验证链接,而实际上会将请求重新路由到受攻击者控制的域名,获得对开发者会话令牌的访问权限。更糟糕的是,可通过欺骗HTTP 标头即修改 X-Forwarded-Host 标头字段,升级为零点击账户接管攻击,并利用配置不当的邮件安全工具。
研究人员表示,“我们发现几乎每个pod的所有人在 Trunk 服务器上注册自己的组织机构邮件,使得他们易受零点击接管漏洞利用攻击。”
这并非 CocoaPods 首次被扫描到。2023年3月,Checkmarx 公司披露称,与依赖管理器 (“cdn2.cocoapods[.]org”) 存在关联的被弃用子域名可被攻击者通过 GitHub Pages 劫持,目的是托管其多个 payload。
原文始发于微信公众号(代码卫士):CocoaPods 严重漏洞导致 iOS 和 macOS 应用易受供应链攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论