Google podjęło kroki, aby zablokować swoje reklamy w witrynach e-commerce korzystających z usługi Polyfill[.]io. Wydarzyło się to zaraz po tym, jak chińska firma nabyła domenę i zmodyfikowała bibliotekę JavaScript („polyfill.js”) w celu przekierowywania użytkowników do złośliwych witryn.
Jak stwierdził zespół z Sansec, we wtorkowym raporcie, ponad 110 000 witryn, w których zainstalowana jest biblioteka, zostało dotkniętych atakiem na łańcuch dostaw.
Polyfill to popularna biblioteka, która uwzględnia obsługę nowoczesnych funkcji w przestarzałych przeglądarkach internetowych. Na początku lutego tego roku pojawiły się obawy w związku z jej zakupem przez chińską firmę Funnull zajmującą się sieciami dostarczania treści (CDN).
Pierwotny twórca projektu, Andrew Betts, nalegał, aby właściciele witryn internetowych natychmiast go usunęli, dodając, iż „żadna witryna internetowa nie wymaga w tej chwili żadnych wypełnień z biblioteki Polyfill[.]io” oraz iż „większość funkcji dodanych do platformy internetowej jest gwałtownie wdrażana przez wszystkie główne przeglądarki, z pewnymi wyjątkami, których generalnie i tak nie można spełnić, jak Web Serial i Web Bluetooth”.
Rozwój sytuacji skłonił też dostawców infrastruktury internetowej Cloudflare do zaoferowania alternatywnych punktów końcowych, aby pomóc użytkownikom odejść od Polyfill[.]io.
„Obawy są takie, iż każda witryna internetowa zawierająca link do oryginalnej domeny Polyfill[.]io będzie teraz polegać na Funnull w celu utrzymania i zabezpieczenia projektu bazowego, aby uniknąć ryzyka ataku na łańcuch dostaw” – zauważyli badacze Cloudflare, Sven Sauleau i Michael Tremante.
Taki atak miałby miejsce, gdyby dana osoba trzecia została naruszona lub w niegodziwy sposób zmieniła kod dostarczany użytkownikom końcowym, co w konsekwencji spowodowałoby naruszenie bezpieczeństwa wszystkich witryn internetowych korzystających z tego narzędzia.
Holenderska firma zajmująca się bezpieczeństwem e-commerce stwierdziła, iż domena „cdn.polyfill[.]io” została przyłapana na wstrzykiwaniu złośliwego systemu przekierowującego użytkowników do witryn z zakładami sportowymi i stron pornograficznych.
Kod ma specjalną ochronę przed inżynierią wsteczną i aktywuje się tylko na określonych urządzeniach mobilnych w określonych godzinach. Nie aktywuje się również po wykryciu administratora na urządzeniu. Opóźnia także wykonanie, gdy zostanie znaleziona usługa analityki internetowej, prawdopodobnie po to, aby nie znaleźć się w statystykach.
Firma c/side z siedzibą w San Francisco wydała własne ostrzeżenie, zauważając, iż opiekunowie domeny dodali nagłówek Cloudflare Security Protection do swojej witryny w okresie od 7 do 8 marca 2024 r., aby zmylić użytkowników i administratorów.
Ustalenia są następstwem zalecenia dotyczącego krytycznej luki w zabezpieczeniach witryn Adobe Commerce i Magento (CVE-2024-34102, wynik CVSS: 9,8), która w dalszym ciągu pozostaje w dużej mierze niezałatana pomimo udostępnienia poprawek od 11 czerwca 2024 r.
„Sama w sobie umożliwia każdemu odczytywanie prywatnych plików (takich jak te zawierające hasła)” – stwierdził Sansec, który nadał łańcuchowi exploitów CosmicSting nazwę kodową. „Jednak w połączeniu z niedawnym błędem iconv w systemie Linux zmienia się to w koszmar bezpieczeństwa polegający na zdalnym wykonywaniu kodu”.
Od tego czasu okazało się, iż strony trzecie mogą uzyskać dostęp administratora po API bez konieczności kompromitacji wersji Linuksa podatnej na błąd iconv (CVE-2024-2961), co czyni ten problem jeszcze poważniejszym.
