长亭百川云 - 文章详情

CocoaPods 严重漏洞导致 iOS 和 macOS 应用易受供应链攻击

代码卫士

53

2024-07-13

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Swift 和 Objective-C 的 Cocoa 项目的依赖管理器 CocoaPods 中存在三个漏洞,可用于发动软件供应链攻击,导致下游客户面临严重风险。

以色列E.V.A Information Security公司的安全研究员 Reef Spektor 和 Eran Vaknin 在一份报告中提到,这些漏洞可导致“任何恶意人员获得数千个未声明pod 的所有权,并将恶意代码注入到很多最流行的iOS 和 macOS 应用程序中。”该公司指出,这些漏洞已由 CocoaPods 在2023年10月修复,并在当时重置了所有的用户会话。

其中一个漏洞是CVE-2024-38368(CVSS评分9.3),可导致攻击者滥用 “声明你的 Pods (Claim Your Pods)” 进程并控制包,从而篡改源代码并引入恶意变更。不过,它要求所有之前的维护人员已被删除。

该漏洞的根因可追溯至2014年,当时迁移到 Trunk 服务器导致数千个包拥有未知(或未声明的)所有人,使攻击者通过公开API声明 pod,CocoaPods 源代码 ("unclaimed-pods@cocoapods.org") 中的一个邮件地址就能接管控制。

第二个漏洞更为严重(CVE-2024-38366,CVSS评分10),攻击者可利用不安全的邮件验证工作流,在 Trunk 服务器上运行任意代码,之后用于操纵或替换这些包。

该服务中的第二个问题存在于邮件地址验证组件中(CVE-2024-38367,CVSS评分8.2),它诱骗收件人点击看似无害的验证链接,而实际上会将请求重新路由到受攻击者控制的域名,获得对开发者会话令牌的访问权限。更糟糕的是,可通过欺骗HTTP 标头即修改 X-Forwarded-Host 标头字段,升级为零点击账户接管攻击,并利用配置不当的邮件安全工具。

研究人员表示,“我们发现几乎每个pod的所有人在 Trunk 服务器上注册自己的组织机构邮件,使得他们易受零点击接管漏洞利用攻击。”

这并非 CocoaPods 首次被扫描到。2023年3月,Checkmarx 公司披露称,与依赖管理器 (“cdn2.cocoapods[.]org”) 存在关联的被弃用子域名可被攻击者通过 GitHub Pages 劫持,目的是托管其多个 payload。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

利用 CocoaPods 服务器中的一个 RCE 漏洞,投毒数百万款app

Rapid7:0day攻击和供应链攻陷剧增,MFA利用率仍较低

AI Python 包中存在缺陷 “Llama Drama” ,威胁软件供应链

RSAC 2024观察:软件供应链安全进入AI+时代

在线阅读版:《2023中国软件供应链安全分析报告》全文

原文链接

https://thehackernews.com/2024/07/critical-flaws-in-cocoapods-expose-ios.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2