Supply-Chain-Angriff auf Polyfill JS betrifft mehr als 100.000 Websites

 (sansec.io)
8 Punkte von GN⁺ 2024-06-26 | 3 Kommentare | Auf WhatsApp teilen
  • Polyfill.js ist eine Open-Source-Bibliothek zur Unterstützung älterer Browser und wird auf mehr als 100.000 Websites verwendet
  • Im Februar dieses Jahres übernahm ein chinesisches Unternehmen die Domain und den Github-Account von Polyfill.js und begann anschließend, über diese Domain Schadcode auf Mobilgeräte einzuschleusen
  • Update vom 25. Juni: Google hat bereits damit begonnen, Google-Anzeigen für E-Commerce-Websites zu blockieren, die polyfill.io verwenden
  • Angriffsmethode: Der auf Basis von HTTP-Headern dynamisch erzeugte Code wird nur zu bestimmten Zeiten auf bestimmten Mobilgeräten aktiviert; werden Administratoren oder Webanalyse-Dienste erkannt, wird die Ausführung verzögert
  • Beispiel für den Schadcode: Mobile Nutzer werden über eine gefälschte Google-Analytics-Domain (www. googie-anaiytics .com) auf Sportwetten-Seiten umgeleitet.
  • Gegenmaßnahmen: Der ursprüngliche Autor von Polyfill.js empfiehlt, die Bibliothek nicht mehr zu verwenden, da sie in modernen Browsern nicht mehr nötig ist; Fastly und Cloudflare bieten vertrauenswürdige Alternativen an.
  • Dieser Vorfall ist ein typisches Beispiel für einen Supply-Chain-Angriff.
  • Zusätzliche Tools: Sansecs kostenloser CSP-Monitoring-Dienst Sansec Watch und der Backend-Scanner eComscan unterstützen die Erkennung von Polyfill.io

Meinung von GN⁺

  • Risiken von Supply-Chain-Angriffen: Dies ist ein anschauliches Beispiel für Sicherheitsrisiken, die entstehen können, wenn Open-Source-Projekte übernommen werden. Besonders bei Bibliotheken, die auf vielen Websites eingesetzt werden, kann der Schaden groß sein.
  • Einsatz alternativer Bibliotheken: Es ist wichtig, vertrauenswürdige Alternativen wie die von Fastly und Cloudflare zu nutzen. Wenn die Unterstützung aktueller Browser ausreicht, sollte auch erwogen werden, den Einsatz von Polyfill.js einzustellen.
  • Notwendigkeit von Sicherheitsmonitoring: Es ist wichtig, Sicherheitswerkzeuge wie CSP-Monitoring-Dienste einzusetzen, um Codeänderungen in Echtzeit zu überwachen.
  • Admin-Erkennung und verzögerte Ausführung: Dass der Schadcode Administratoren oder Analyse-Dienste erkennt und die Ausführung verzögert, ist ein Versuch, Sicherheitslösungen zu umgehen; dafür sind geeignete Gegenmaßnahmen erforderlich.
  • Schulung und Sensibilisierung: Es ist wichtig, dass Entwickler und Betreiber die Risiken von Supply-Chain-Angriffen verstehen und sich durch regelmäßige Sicherheitsschulungen sowie das Verfolgen aktueller Sicherheitstrends auf dem Laufenden halten.

Verwandte Beiträge

3 Kommentare

 
xguru 2024-06-30

Es heißt, dass nicht nur die Domain polyfill.io, sondern auch bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.macoms.la und newcrbpc.com blockiert werden sollten.
 
humblebee 2024-06-26

https://de.news.hada.io/topic?id=15118
Ich verfolge das mit Interesse, seit dieses Problem vor etwa einem Monat bei GN behandelt wurde. Selbst wenn die Ursache des Problems bis zu einem gewissen Grad aufgeklärt wird, wirkt es so, als seien aufgrund der Struktur weiterhin viele Orte Angriffen ausgesetzt, solange Zeit für die Eindämmung und Folgemaßnahmen benötigt wird. Es bereitet mir Sorgen, dass Sicherheitsvorfälle weiter zunehmen und sich der Mangel an Sicherheitsexperten wohl vorerst noch verschärfen dürfte.
 
GN⁺ 2024-06-26
Hacker-News-Kommentare

  • Risiken bei der Nutzung öffentlicher CDNs: Die Verwendung öffentlicher CDNs kann dazu führen, dass Schadcode auf Mobilgeräte eingeschleust wird. Um das zu verringern, kann SRI (Subresource Integrity) eingesetzt werden, die beste Lösung ist jedoch, Inhalte direkt über den eigenen CDN-Dienst zu hosten.

  • Spieltheoretische Perspektive: Die Wartung von Open-Source-Software muss viele Websites ohne Gegenleistung unterstützen, was letztlich zu Sicherheitsproblemen führen kann.

  • Externe Inhalte bei Washington Post und Fox News: Beide Websites binden viele externe Inhalte ein, was sie zu potenziellen Angriffszielen macht.

  • Prognose von Cloudflare: Cloudflare hat ein solches Problem bereits vorausgesehen und Lösungen angeboten, um es zu entschärfen.

  • Einschätzung des Gründers des Polyfill-Service: Er hat das Polyfill-Service-Projekt erstellt, besaß jedoch nicht die Domain. Die aktuelle Domain schleust nun Schadcode ein. Es wird empfohlen, die Nutzung sofort einzustellen.

  • Absehbares Problem: Das Problem war bereits vor vier Monaten absehbar, und mehr Menschen hätten es erkennen und darauf reagieren müssen.

  • Weiterleitung auf Sportwetten-Seiten: In manchen Fällen werden Nutzer auf unerwünschte Websites umgeleitet, was bei einem Teil der Nutzer wirksam sein kann.

  • Zu wenig Erwähnung von SRI: Es ist überraschend, dass der Artikel SRI nicht erwähnt. SRI ist eine kostengünstige und sehr wirksame Lösung.

  • Gespräche mit Entwicklern: Viele Entwickler zeigen sich gegenüber CDN-Hijacking gleichgültig, was zu Sicherheitsproblemen führen kann.

  • Empfehlung zum Self-Hosting: Es ist immer besser, Abhängigkeiten selbst zu hosten; das hilft auch beim Schutz der Privatsphäre der Nutzer.