ทีมนักวิจัยเผยเทคนิคโจมตีใหม่ที่สามารถเข้าแฝงตัวในบริษัทใหญ่ได้กว่า 35 แห่ง

ทีมนักวิจัยได้เปิดเผยผลการทดลองโจมตีบริษัทใหญ่ได้สำเร็จหลายสิบแห่งด้วยเทคนิคใหม่ที่ชื่อว่า ‘Dependency Confusion’ ซึ่งทาง Microsoft ได้ออกมาเตือนถึงความอันตรายแก่องค์กรต่างๆ ว่าให้ระวังกันด้วย

ปัจจุบันนักพัฒนาซอฟต์แวร์ในองค์กรจะมีเครื่องมือ Package Manager สำหรับดาวน์โหลดและ Import ไลบรารีเข้ามาใช้ในแอปของตน ประเด็นคือนักวิจัยมักมีการใช้แพ็กเกจทั้งจากภายในหรือภายนอกองค์กรรวมกัน ด้วยเหตุนี้เองนักวิจัยจึงได้คิดค้นเทคนิคใหม่ในการโจมตีหรือ Dependency Confusion

โดยไอเดียก็คือนักวิจัยเข้าไปเรียนรู้เหตุการณ์ที่องค์กรเปิดเผยชื่อของไลบรารีที่ใช้ภายใน (Private) อย่างไม่ตั้งใจ จากนั้นก็จะไปลงทะเบียนชื่อไลบรารีเหมือนกันในแหล่งสาธารณะ (Public) ประเด็นคือหากตัว Package Manager ให้ความสำคัญกับไลบรารีที่อยู่บน Public Repository มากกว่าเช่น npm, RubyGems และ PyPI ก็มีโอกาสที่จะไปดึงเอาแพ็กเกจอันตรายของคนร้ายเข้ามาใส่ในแอปขององค์กร 

อย่างไรก็ดีผลที่นักวิจัยพบน่าสนใจไม่น้อยเลยทีเดียวเพราะสามารถแฝงเข้าไปยังแอปของบริษัทเทคโนโลยีใหญ่ๆได้ถึง 35 แห่งเช่น Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Uber และอื่นๆ และนอกจาก Package Manager ชื่อดังอย่าง npm, RubyGems และ PyPI จะได้รับผลกระทบจากการโจมตีนี้แล้วตัวอื่นก็ได้รับผลกระทบเช่นกันอย่าง JFrog และ NuGet เป็นต้น สำหรับวิธีการป้องกันแนะนำดังนี้

• ให้อ้างอิงยึดเอาการใช้งานจาก Private แหล่งเดียวเป็นหลัก
• ควบคุมการใช้งานจาก Public Repository
• ใช้ฟีเจอร์ในการตรวจสอบแพ็กเกจเช่น Version Pinning และ Integrity Verification

ที่มา : https://www.zdnet.com/article/microsoft-warns-enterprises-of-new-dependency-confusion-attack-technique/