Um trio de falhas de segurança foi descoberto no gerenciador de dependências CocoaPods para projetos Swift e Goal-C Cocoa que podem ser exploradas para realizar ataques à cadeia de suprimentos de software program, colocando os clientes downstream em sérios riscos.
As vulnerabilidades permitem que “qualquer agente malicioso reivindique a propriedade de milhares de pods não reivindicados e insira código malicioso em muitos dos aplicativos iOS e macOS mais populares”, disseram os pesquisadores de Segurança da Informação da EVA, Reef Spektor e Eran Vaknin, em um relatório publicado hoje.
A empresa israelense de segurança de aplicativos disse que os três problemas foram corrigidos pelo CocoaPods em outubro de 2023. Ela também redefine todas as sessões de usuário naquele momento em resposta às divulgações.
Uma das vulnerabilidades é a CVE-2024-38368 (pontuação CVSS: 9,3), que possibilita que um invasor abuse do processo “Reivindicar seus pods” e assuma o controle de um pacote, permitindo-lhe efetivamente adulterar o código-fonte e introduzir alterações maliciosas. No entanto, isso exigiu que todos os mantenedores anteriores fossem removidos do projeto.
As raízes do problema remontam a 2014, quando uma migração para o servidor Trunk deixou milhares de pacotes com proprietários desconhecidos (ou não reivindicados), permitindo que um invasor usasse uma API pública para reivindicar pods e um endereço de e-mail que estava disponível no CocoaPods. código-fonte (“unclaimed-pods@cocoapods.org”) para assumir o controle.
O segundo bug é ainda mais crítico (CVE-2024-38366, pontuação CVSS: 10,0) e aproveita um fluxo de trabalho de verificação de e-mail inseguro para executar código arbitrário no servidor Trunk, que poderia então ser usado para manipular ou substituir os pacotes.
Também foi identificado no serviço um segundo problema no componente de verificação de endereço de e-mail (CVE-2024-38367, pontuação CVSS: 8,2) que poderia levar um destinatário a clicar em um hyperlink de verificação aparentemente benigno, quando, na realidade, redireciona o solicitação a um domínio controlado pelo invasor para obter acesso aos tokens de sessão de um desenvolvedor.
Para piorar a situação, isso pode ser atualizado para um ataque de controle de conta sem clique, falsificando um cabeçalho HTTP – ou seja, modificando o campo do cabeçalho X-Forwarded-Host – e aproveitando ferramentas de segurança de e-mail mal configuradas.
“Descobrimos que quase todos os proprietários de pods estão registrados com seus e-mails organizacionais no servidor Trunk, o que os torna vulneráveis à nossa vulnerabilidade de aquisição de zero cliques”, disseram os pesquisadores.
Esta não é a primeira vez que o CocoaPods é escaneado. Em março de 2023, a Checkmarx revelou que um subdomínio abandonado associado ao gerenciador de dependências (“cdn2.cocoapods(.)org”) poderia ter sido sequestrado por um adversário by way of GitHub Pages com o objetivo de hospedar suas cargas úteis.
