GitHub corrige vulnerabilidade de autorização no registro de pacote NPM JavaScript

O GitHub disse que corrigiu um problema antigo com o registro JavaScript do NPM (Node Package Manager) que permitiria a um invasor atualizar qualquer pacote sem a devida autorização.

O chefe de segurança Mike Hanley postou ontem sobre o problema, relatado pelos pesquisadores de segurança Kajetan Grzybowski e Maciej Piechota em 2 de novembro e corrigido em seis horas. Essa velocidade impressionante contrasta com o tempo de existência da vulnerabilidade, considerado mais longo do que “o período de tempo para o qual temos telemetria disponível, que remonta a setembro de 2020.”

A vulnerabilidade foi baseada em um padrão de insegurança familiar, onde o sistema autentica corretamente um usuário, mas permite o acesso além do que as permissões desse usuário deveriam permitir. Nesse caso, o serviço NPM validou corretamente que um usuário estava autorizado a atualizar um pacote, mas “o serviço que executa atualizações subjacentes aos dados de registro determinou qual pacote publicar com base no conteúdo do arquivo de pacote carregado.

“Essa discrepância forneceu um meio pelo qual as solicitações de publicação de novas versões de um pacote seriam autorizadas para um pacote, mas na verdade seriam executadas para um pacote diferente e potencialmente não autorizado.”

O NPM é um recurso essencial para milhões de desenvolvedores; por exemplo, um dos pacotes mais populares é o lodash, uma biblioteca de utilitários JavaScript que é baixada cerca de sete milhões de vezes por dia. As consequências de uma versão maliciosa de tal pacote seriam graves, razão pela qual Hanley acrescentou que “podemos dizer com grande confiança que esta vulnerabilidade não foi explorada de forma maliciosa” pelo menos desde setembro de 2020.

Hanley também revelou que os nomes de alguns pacotes publicados de forma privada, que não deveriam ser listados no registro público, foram inadvertidamente expostos por meio de uma réplica pública do NPM, por cerca de uma semana. O conteúdo dos pacotes não estava acessível, porém, e isso foi corrigido em 29 de outubro.

Leia mais em inglês no site: https://www.theregister.com/2021/11/16/github_npm_flaw/

Já pensou na segurança da sua infraestrutura? Se precisa de ajuda conte conosco, solicite uma avaliação sem compromisso.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *