Puluhan Paket NuGet Rentan Memungkinkan Penyerang Menargetkan .NET Platform

peretasan nuget

Analisis paket off-the-shelf yang dihosting di repositori NuGet telah mengungkapkan 51 komponen perangkat lunak unik yang rentan terhadap kerentanan tingkat tinggi yang dieksploitasi secara aktif, sekali lagi menggarisbawahi ancaman yang ditimbulkan oleh ketergantungan pihak ketiga terhadap proses pengembangan perangkat lunak.

Mengingat meningkatnya jumlah insiden dunia maya yang menargetkan rantai pasokan perangkat lunak, ada kebutuhan mendesak untuk menilai modul pihak ketiga tersebut untuk risiko keamanan apa pun dan meminimalkan permukaan serangan, kata peneliti ReversingLabs Karlo Zanki dalam sebuah laporan yang dibagikan kepada The Hacker Berita.

Bacaan Lainnya

NuGet adalah mekanisme yang didukung Microsoft untuk platform .NET dan berfungsi sebagai manajer paket yang dirancang untuk memungkinkan pengembang berbagi kode yang dapat digunakan kembali. Kerangka kerja ini memelihara repositori pusat lebih dari 264.000 paket unik yang secara kolektif telah menghasilkan lebih dari 109 miliar unduhan paket.

“Semua komponen perangkat lunak terkompilasi yang diidentifikasi dalam penelitian kami adalah versi berbeda dari 7Zip, WinSCP, dan PuTTYgen, program yang menyediakan kompresi kompleks dan fungsionalitas jaringan,” Zanki dijelaskan. “Mereka terus diperbarui untuk meningkatkan fungsionalitasnya dan untuk mengatasi kerentanan keamanan yang diketahui. Namun, terkadang terjadi bahwa paket perangkat lunak lain diperbarui tetapi masih tetap menggunakan dependensi beberapa tahun yang mengandung kerentanan yang diketahui.”

Dalam satu contoh, ditemukan bahwa “WinSCPHelper” — perpustakaan manajemen file server jauh dan yang telah diunduh lebih dari 35.000 kali — gunakan WinSCP versi 5.11.2 yang lama dan rentan, sedangkan WinSCP versi 5.17.10 dirilis awal Januari ini membahas kelemahan eksekusi arbitrer kritis (CVE-2021-3331), sehingga mengekspos pengguna paket ke kerentanan.

Selanjutnya, para peneliti menetapkan bahwa lebih dari 50.000 komponen perangkat lunak yang diekstraksi dari paket NuGet secara statis terhubung ke versi rentan “zlib” perpustakaan kompresi data, menjadikannya rentan terhadap sejumlah masalah keamanan yang diketahui seperti CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, dan CVE-2016-9843.

Beberapa paket yang diamati memiliki kerentanan zlib adalah “DicomObjects” dan “librdkafka.redist“, yang masing-masing telah diunduh tidak kurang dari 50.000 dan 18,2 juta kali. Yang lebih memprihatinkan adalah bahwa “librdkafka.redist” terdaftar sebagai dependensi untuk beberapa paket populer lainnya, termasuk .NET Client Confluent untuk Apache Kafka (Konfluen.Kafka), yang, pada gilirannya, telah diunduh lebih dari 17,6 juta kali hingga saat ini.

“Perusahaan yang mengembangkan solusi perangkat lunak perlu menjadi lebih sadar akan risiko tersebut, dan perlu lebih terlibat dalam penanganannya,” kata Zanki. “Baik input dan output akhir dari proses pengembangan perangkat lunak perlu diperiksa untuk gangguan dan masalah kualitas kode. Pengembangan perangkat lunak yang transparan adalah salah satu kunci yang diperlukan untuk memungkinkan deteksi dini dan pencegahan serangan rantai pasokan perangkat lunak.”

'+n+'...
'+a+"...
"}s+="",document.getElementById("result").innerHTML=s}}),t=!0)})}); //]]>

Pos terkait