01 de julio de 2024Sala de prensaCadena de suministro/Seguridad de software Se han descubierto tres fallas de seguridad en el administrador de dependencias CocoaPods para proyectos Swift y Objective-C Cocoa que podrían explotarse para organizar ataques a la cadena de suministro de software, poniendo a los clientes intermedios en graves riesgos. Las vulnerabilidades permiten que «cualquier actor malicioso reclame la propiedad de miles de pods no reclamados e inserte código malicioso en muchas de las aplicaciones iOS y macOS más populares», dijeron los investigadores de EVA Information Security, Reef Spektor y Eran Vaknin, en un informe publicado hoy. La firma israelí de seguridad de aplicaciones dijo que CocoaPods solucionó los tres problemas desde octubre de 2023. También restablece todas las sesiones de usuario en ese momento en respuesta a las divulgaciones. Una de las vulnerabilidades es CVE-2024-38368 (puntuación CVSS: 9,3), que hace posible que un atacante abuse del proceso «Reclama tus Pods» y tome el control de un paquete, lo que le permite alterar el código fuente y introducir cambios maliciosos. Sin embargo, esto requería que todos los mantenedores anteriores hubieran sido eliminados del proyecto. Las raíces del problema se remontan a 2014, cuando una migración al servidor Trunk dejó miles de paquetes con propietarios desconocidos (o no reclamados), lo que permitió a un atacante utilizar una API pública para reclamar pods y una dirección de correo electrónico que estaba disponible en CocoaPods. código fuente («unclaimed-pods@cocoapods.org») para tomar el control. El segundo error es aún más crítico (CVE-2024-38366, puntuación CVSS: 10.0) y aprovecha un flujo de trabajo de verificación de correo electrónico inseguro para ejecutar código arbitrario en el servidor Trunk, que luego podría usarse para manipular o reemplazar los paquetes. También se identifica en el servicio un segundo problema en el componente de verificación de dirección de correo electrónico (CVE-2024-38367, puntuación CVSS: 8,2) que podría incitar a un destinatario a hacer clic en un enlace de verificación aparentemente benigno, cuando, en realidad, redirige el enlace. solicitud a un dominio controlado por un atacante para obtener acceso a los tokens de sesión de un desarrollador. Para empeorar las cosas, esto puede convertirse en un ataque de apropiación de cuentas sin hacer clic falsificando un encabezado HTTP (es decir, modificando el campo del encabezado X-Fordered-Host) y aprovechando herramientas de seguridad de correo electrónico mal configuradas. «Hemos descubierto que casi todos los propietarios de pods están registrados con el correo electrónico de su organización en el servidor Trunk, lo que los hace vulnerables a nuestra vulnerabilidad de adquisición sin clic», dijeron los investigadores. Esta no es la primera vez que CocoaPods pasa por el escáner. En marzo de 2023, Checkmarx reveló que un subdominio abandonado asociado con el administrador de dependencias («cdn2.cocoapods[.]org») podría haber sido secuestrado por un adversario a través de GitHub Pages con el objetivo de alojar sus cargas útiles. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.