O Google tomou medidas para bloquear anúncios de websites de comércio eletrônico que usam o serviço Polyfill.io depois que uma empresa chinesa adquiriu o domínio e modificou a biblioteca JavaScript (“polyfill.js”) para redirecionar usuários para websites maliciosos e fraudulentos.
Mais de 110.000 websites que incorporam a biblioteca foram afetados pelo ataque à cadeia de suprimentos, disse a Sansec em um relatório de terça-feira.
Polyfill é uma biblioteca common que incorpora suporte para funções modernas em navegadores da internet. No início de fevereiro, surgiram preocupações após sua compra pela Funnull, empresa chinesa de rede de distribuição de conteúdo (CDN).
O criador unique do projeto, Andrew Betts, pediu aos proprietários de websites que o removessem imediatamente, acrescentando que “nenhum web site hoje requer qualquer um dos polyfills na biblioteca polyfill(.)io” e que “a maioria dos recursos adicionados à plataforma internet são rapidamente adotados por todos os principais navegadores, com algumas exceções que geralmente não podem ser polyfill de qualquer maneira, como Internet Serial e Internet Bluetooth”.
O desenvolvimento também levou os provedores de infraestrutura internet Cloudflare e Fastly a oferecer endpoints alternativos para ajudar os usuários a se afastarem do Polyfill.io.
“As preocupações são que qualquer web site que incorpore um hyperlink para o domínio polyfill.io unique agora dependerá do Funnull para manter e proteger o projeto subjacente para evitar o risco de um ataque à cadeia de suprimentos”, observaram os pesquisadores da Cloudflare, Sven Sauleau e Michael Tremante. no momento.
“Tal ataque ocorreria se o terceiro subjacente fosse comprometido ou alterasse o código que está sendo servido aos usuários finais de maneiras nefastas, fazendo com que, consequentemente, todos os websites que usam a ferramenta fossem comprometidos”.
A empresa holandesa de segurança de comércio eletrônico disse que o domínio “cdn.polyfill(.)io” foi pego injetando malware que redireciona os usuários para apostas esportivas e websites pornográficos.
“O código tem proteção específica contra engenharia reversa e só é ativado em dispositivos móveis específicos em horários específicos”, afirmou. “Ele também não é ativado quando detecta um usuário administrador. Também atrasa a execução quando um serviço de análise da internet é encontrado, provavelmente para não aparecer nas estatísticas.”
A c/facet, com sede em São Francisco, também emitiu um alerta próprio, observando que os mantenedores do domínio adicionaram um cabeçalho Cloudflare Safety Safety ao seu web site entre 7 e 8 de março de 2024.
As descobertas seguem um comunicado sobre uma falha crítica de segurança que afeta os websites Adobe Commerce e Magento (CVE-2024-34102, pontuação CVSS: 9,8) que continua praticamente sem correção, apesar das correções estarem disponíveis desde 11 de junho de 2024.
“Por si só, ele permite que qualquer pessoa leia arquivos privados (como aqueles com senhas)”, disse Sansec, que batizou a cadeia de exploração de CosmicSting. “No entanto, combinado com o recente bug do iconv no Linux, ele se transforma no pesadelo de segurança da execução remota de código.”
Desde então, descobriu-se que terceiros podem obter acesso de administrador da API sem exigir uma versão Linux vulnerável ao problema do iconv (CVE-2024-2961), tornando-o um problema ainda mais grave.
