CocoaPods: Supply-Chain-Angriffe auf iOS und macOS möglich

Table of Contents

Am 1. Juli 2024 berichteten Forscher von E.V.A Information Security mehrere kritische Sicherheitslücken im CocoaPods-Ökosystem. Diese Schwachstellen ermöglichen Supply-Chain-Angriffe, die Tausende von iOS- und macOS-Anwendungen gefährden.

Details zu den Schwachstellen

  1. Übernahme verwaister Pods:
    Die Schwachstelle CVE-2024-38368 ermöglicht es Angreifern, die Kontrolle über verwaiste Pods zu übernehmen, indem sie eine öffentlich zugängliche API nutzen. Dies erlaubt es Angreifern, den ursprünglichen Quellcode durch bösartigen Code zu ersetzen.
  2. Remote Code Execution (RCE) auf dem CocoaPods-Trunk-Server:
    Eine unsichere E-Mail-Überprüfung ermöglichte es Angreifern, beliebigen Code auf dem Trunk-Server auszuführen und damit die heruntergeladenen Pakete zu manipulieren oder zu ersetzen.
  3. Zero-Click Account Takeover:
    Angreifer konnten durch Spoofing eines HTTP-Headers und Ausnutzung fehlkonfigurierter E-Mail-Sicherheitstools eine Zero-Click-Übernahme von Entwicklerkonten durchführen.

Diese Schwachstellen stellen ein erhebliches Risiko für die Software-Supply-Chain dar. Angreifer könnten bösartigen Code in weit verbreitete iOS- und macOS-Anwendungen injizieren, was zu massiven finanziellen und reputationsbezogenen Schäden führen könnte. Betroffene Anwendungen könnten auf Millionen von Geräten ausgeführt werden und Zugang zu sensiblen Benutzerdaten haben, einschließlich Kreditkarteninformationen, medizinischen Daten und persönlichen Dateien.

Entwickler und Organisationen sollten dringend ihre Abhängigkeitslisten und verwendeten Paketmanager überprüfen, Checksummen von Drittanbieterbibliotheken validieren, regelmäßige Scans auf bösartigen Code durchführen, Software aktuell halten und die Verwendung verwaister oder nicht gepflegter Pakete vermeiden. Besonders wichtig ist es, sicherzustellen, dass alle genutzten Abhängigkeiten aktiv gepflegt werden und deren Eigentümerschaft klar ist.

Related Posts

Kritische Remote Code Execution (RCE) Schwachstellen in GeoTools und GeoServer

Zwei kritische Sicherheitslücken (CVE-2024-36404 & CVE-2024-36401) wurden in den beliebten Open-Source-Bibliotheken GeoTools und GeoServer entdeckt, die Remote Code Execution (RCE) ermöglichen. Diese Schwachstellen betreffen die unsichere Auswertung von XPath- und Eigenschaftsnamen-Ausdrücken und können von Angreifern ausgenutzt werden, um beliebigen Code auszuführen.

Read More

Kiritsche Schwachstellen im Apache HTTP Server gefunden

Im Apache HTTP Server 2.4 wurden mehrere kritische Sicherheitslücken entdeckt. Die Schwachstellen können zu schweren Sicherheitsproblemen wie Quellcode-Offenlegung, Denial-of-Service (DoS) und Server-Side Request Forgery (SSRF) führen. Hier sind die wichtigsten Details zu diesen Schwachstellen und den entsprechenden Fixes:

Read More

OpenStack: Beliebiger Dateizugriff durch benutzerdefinierte QCOW2-Daten

Eine Sicherheitslücke (CVE-2024-32498) in der Verarbeitung von QCOW2-Images betrifft die OpenStack-Komponenten Cinder, Glance und Nova. Martin Kaesberger entdeckte, dass ein speziell erstelltes QCOW2-Image, das einen bestimmten Dateipfad referenziert, es einem authentifizierten Benutzer ermöglicht, auf die Inhalte dieser Datei zuzugreifen. Dies kann zu einem unbefugten Zugriff auf potenziell sensible Daten führen.

Read More