研究人员报告Packagist PHP存储库中的供应链漏洞

研究人员披露了PHP软件包存储库Packagist中一个现已修补的高严重性安全漏洞的详细信息，该漏洞可能被用来发起软件供应链攻击。

SonarSource研究人员托马斯·乔切芬在与《黑客新闻》分享的一份报告中表示：“这个漏洞允许获得Packagist的控制权”。PHP包管理器Composer使用Packagist来确定和下载开发人员在其项目中包含的软件依赖项。

这一披露发生之际，在开源存储库中植入恶意软件正成为实施软件供应链攻击的一个有吸引力的渠道。

该问题被称为CVE-2022-24828（CVSS分数：8.8），被描述为命令注入的情况，并与2021 4月份出现的另一个类似的作曲家bug（CVE-2021-29472）有关，表明补丁不足。

Packagist在2022年4月的一份咨询中透露：“攻击者控制项目composer.json中以URL明确列出的Git或Mercurial存储库，可以使用精心设计的分支名称在运行composer更新的机器上执行命令”。

成功利用该漏洞意味着更新包的请求可能被劫持，通过在运行Packagist官方实例的后端服务器上执行任意命令来分发恶意依赖项。

Chauchefoin解释道：“妥协（后端服务）会让攻击者迫使用户在下次重新安装或更新Composer包时下载后门软件依赖项”。

也就是说，迄今为止没有证据表明该漏洞已被利用。在SonarSource于2022年4月7日报告该漏洞后，Composer版本1.10.26、2.2.12和2.3.5中已部署了修复程序。

开源代码越来越成为威胁行为体选择的有利可图的目标，因为它们很容易被武器化以对抗软件供应链。

今年4月早些时候，SonarSource还详细介绍了PEAR PHP存储库中存在的一个15年的安全漏洞，该漏洞可能允许攻击者获得未经授权的访问，发布流氓软件包并执行任意代码。

Chauchefoin说：“虽然供应链可以采取不同的形式，但其中一种更具影响力：通过访问分发这些第三方软件组件的服务器，威胁行为体可以改变它们，以在其用户的系统中站稳脚跟”。