Le référentiel de packages Python populaire PyPI a été trouvé hébergeant des clés AWS et des logiciels malveillants (s’ouvre dans un nouvel onglet)exposant d’innombrables développeurs Python à de graves attaques de la chaîne d’approvisionnement.
Les résultats sont une gracieuseté du développeur de logiciels Tom Forbes, qui a créé un outil à l’aide de Rust qui a analysé tous les nouveaux packages sur PyPI pour les clés API AWS.
L’outil est revenu avec 57 résultats positifs, dont certains d’Amazon, d’Intel, de Stanford, de Portland et de l’Université de Louisiane, du gouvernement australien, du département de fusion General Atomics, de Terradata, de Delta Lake et de Top Glove.
Minimiser les dégâts
« Ce rapport contient les clés qui ont été trouvées, ainsi qu’un lien public vers les clés et d’autres métadonnées sur la publication », a déclaré Forbes. « Parce que ces clés sont enregistrées dans un référentiel GitHub public, le service d’analyse secrète de Github entre en jeu et informe AWS que les clés ont été divulguées. »
Par conséquent, AWS informe le développeur de la fuite et la met en quarantaine pour minimiser les dommages. Le problème est qu’un outil comme celui-ci était relativement facile à construire, et bien que Forbes puisse être bénin dans ses intentions, d’autres peuvent ne pas l’être. Parler à Le registreil a dit que différentes touches peuvent causer différents niveaux de douleur :
« Cela dépend des autorisations exactes accordées à la clé elle-même », a expliqué Forbes. « La clé que j’ai trouvée divulguée par InfoSys [in November] avait un « accès administrateur complet », ce qui signifie qu’il peut tout faire, et les autres clés que j’ai trouvées dans PyPI étaient des « clés racine » qui sont également autorisées à faire n’importe quoi. Un attaquant détenant ces clés aurait un accès complet au compte AWS auquel il est lié. »
Il a ajouté que l’analyse automatisée des clés de GitHub est un pas en avant positif, mais pas suffisant pour résoudre le problème dans son intégralité :
« GitHub se soucie également beaucoup de la sécurité de la chaîne d’approvisionnement, mais ils se sont creusés un trou : la façon dont ils recherchent des secrets implique une grande collaboration avec des fournisseurs qui peuvent divulguer des informations internes sur la façon dont les clés sont construites pour GitHub », a-t-il déclaré. « Cela signifie que les expressions régulières que GitHub utilise pour rechercher des secrets ne peuvent pas être rendues publiques et sont sensibles, ce qui signifie également que des tiers comme PyPI sont effectivement incapables d’utiliser cette infrastructure impressionnante sans envoyer chaque bit de code publié sur PyPI à GitHub. «
Bien qu’il ait blâmé PyPI, affirmant que la plate-forme pourrait faire plus pour protéger ses utilisateurs, il a également déclaré que les développeurs devraient assumer une certaine responsabilité quant à la sécurité de leurs solutions. De plus, AWS devrait également faire partie de la solution, a-t-il ajouté : « AWS a également un blâme à partager ici : IAM est notoirement difficile à déboguer et à corriger, ce qui entraîne l’octroi d’autorisations trop larges sur les clés. »
Pour se protéger contre les attaques de la chaîne d’approvisionnement via PyPI, Forbes indique que les organisations devraient reconsidérer leurs politiques de sécurité.
Via : Le Registre (s’ouvre dans un nouvel onglet)