Tấn công chuỗi cung ứng nhắm vào Polyfill JS, ảnh hưởng đến hơn 100.000 website

 (sansec.io)
8 điểm bởi GN⁺ 2024-06-26 | 3 bình luận | Chia sẻ qua WhatsApp
  • Polyfill.js là thư viện mã nguồn mở để hỗ trợ các trình duyệt cũ, hiện đang được sử dụng trên hơn 100.000 website
  • Vào tháng 2 năm nay, sau khi một công ty Trung Quốc mua lại tên miền và tài khoản Github của Polyfill.js, họ bắt đầu chèn mã độc vào thiết bị di động thông qua tên miền đó
  • Cập nhật ngày 25 tháng 6: Google đã bắt đầu chặn quảng cáo Google của các trang thương mại điện tử đang sử dụng polyfill.io
  • Cách thức tấn công: mã được tạo động dựa trên HTTP header chỉ kích hoạt vào những thời điểm nhất định trên các thiết bị di động cụ thể, và sẽ trì hoãn thực thi nếu phát hiện người dùng quản trị hoặc dịch vụ phân tích web
  • Ví dụ mã độc: chuyển hướng người dùng di động đến các trang cá cược thể thao thông qua tên miền Google Analytics giả (www. googie-anaiytics .com).
  • Biện pháp ứng phó: tác giả gốc của Polyfill.js khuyến nghị không nên tiếp tục sử dụng thư viện này nữa vì với các trình duyệt hiện đại thì nó không còn cần thiết, đồng thời Fastly và Cloudflare cung cấp các lựa chọn thay thế đáng tin cậy.
  • Vụ việc này là một ví dụ điển hình của tấn công chuỗi cung ứng.
  • Công cụ bổ sung: dịch vụ giám sát CSP miễn phí Sansec Watch của Sansec và trình quét backend eComscan hỗ trợ phát hiện Polyfill.io

Ý kiến của GN⁺

  • Rủi ro của tấn công chuỗi cung ứng: Đây là một ví dụ cho thấy rõ rủi ro bảo mật có thể phát sinh khi một dự án mã nguồn mở bị mua lại. Đặc biệt, thư viện càng được nhiều website sử dụng thì mức độ thiệt hại càng có thể lớn.
  • Sử dụng thư viện thay thế: Việc dùng các lựa chọn thay thế đáng tin cậy như Fastly và Cloudflare là rất quan trọng. Ngoài ra, nếu việc hỗ trợ trình duyệt hiện đại đã đủ, cũng nên cân nhắc ngừng sử dụng Polyfill.js.
  • Sự cần thiết của giám sát bảo mật: Việc dùng các công cụ bảo mật như dịch vụ giám sát CSP để theo dõi thay đổi mã theo thời gian thực là rất quan trọng.
  • Phát hiện quản trị viên và trì hoãn thực thi: Cách mã độc phát hiện quản trị viên hoặc dịch vụ phân tích rồi trì hoãn thực thi là một nỗ lực nhằm né tránh các giải pháp bảo mật, và cần có biện pháp ứng phó cho kiểu tấn công này.
  • Đào tạo và nâng cao nhận thức: Điều quan trọng là các nhà phát triển và vận hành phải nhận thức được rủi ro của tấn công chuỗi cung ứng, đồng thời thực hiện đào tạo bảo mật định kỳ và nắm bắt các xu hướng bảo mật mới nhất.

Bài viết liên quan

3 bình luận

 
xguru 2024-06-30

Người ta cho biết không chỉ tên miền polyfill.io mà cả bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.macoms.la, newcrbpc.com... cũng cần phải bị chặn.
 
humblebee 2024-06-26

https://vi.news.hada.io/topic?id=15118
Tôi đã chú ý theo dõi vấn đề này kể từ khi thấy nó được đề cập trên GN khoảng một tháng trước. Ngay cả khi nguyên nhân của vấn đề được làm sáng tỏ ở một mức độ nào đó, tôi vẫn có cảm giác đây là một cấu trúc mà trong khoảng thời gian cần để khắc phục và triển khai các biện pháp tiếp theo, rất nhiều nơi sẽ vẫn không tránh khỏi việc tiếp tục bị phơi bày trước các cuộc tấn công. Các sự cố xâm nhập vẫn đang tiếp tục gia tăng, và tôi lo ngại xu hướng số vụ việc tăng lên trong khi các chuyên gia bảo mật ngày càng thiếu hụt sẽ còn nghiêm trọng hơn trong một thời gian nữa.
 
GN⁺ 2024-06-26
Ý kiến trên Hacker News

  • Rủi ro khi dùng CDN công khai: Việc sử dụng CDN công khai có thể khiến mã độc bị chèn vào thiết bị di động. Có thể giảm thiểu bằng cách dùng SRI (Subresource Integrity), nhưng giải pháp tốt nhất là tự lưu trữ trực tiếp thông qua dịch vụ CDN.

  • Góc nhìn lý thuyết trò chơi: Việc bảo trì phần mềm mã nguồn mở phải hỗ trợ rất nhiều trang web mà không có đền bù, và điều này cuối cùng có thể dẫn đến các vấn đề bảo mật.

  • Nội dung bên ngoài của Washington Post và Fox News: Cả hai website đều chứa nhiều nội dung bên ngoài, và đây có thể là mục tiêu tấn công.

  • Dự đoán của Cloudflare: Cloudflare đã dự đoán trước loại vấn đề này và cung cấp giải pháp để giảm thiểu nó.

  • Ý kiến của người sáng lập dịch vụ Polyfill: Ông đã tạo ra dự án dịch vụ Polyfill nhưng không sở hữu tên miền, và hiện tại tên miền đó đang chèn mã độc. Khuyến cáo ngừng sử dụng ngay lập tức.

  • Vấn đề đã được dự báo: Đây là vấn đề đã được dự báo từ 4 tháng trước, và đáng lẽ nhiều người phải nhận thức và ứng phó với nó hơn.

  • Chuyển hướng sang trang cá cược thể thao: Có những trường hợp người dùng bị chuyển hướng sang các trang họ không mong muốn, và điều này có thể tỏ ra hiệu quả với một số người dùng.

  • Thiếu nhắc đến SRI: Thật đáng ngạc nhiên khi bài báo không nhắc đến SRI. SRI là một giải pháp chi phí thấp nhưng hiệu quả cao.

  • Trao đổi với các nhà phát triển: Nhiều nhà phát triển tỏ ra thờ ơ với việc CDN bị chiếm quyền, và điều này có thể dẫn đến các vấn đề bảo mật.

  • Khuyến nghị tự lưu trữ: Luôn nên tự lưu trữ các dependency, và điều này cũng giúp bảo vệ quyền riêng tư của người dùng.