Attacco MavenGate: Vulnerabilità nelle Librerie Java e Android Esposte – Rilevato Nuovo Metodo di Attacco
L’attacco MavenGate è emerso come una nuova minaccia critica alla sicurezza delle applicazioni Java e Android. Numerose librerie pubbliche, pur essendo abbandonate, continuano ad essere utilizzate in diverse applicazioni, diventando vulnerabili a questo innovativo metodo di attacco alla catena di approvvigionamento software.
Secondo l’analisi di Oversecured, la vulnerabilità deriva dalla possibilità di dirottare l’accesso ai progetti attraverso l’acquisto di nomi di dominio scaduti. La maggior parte delle configurazioni di compilazione predefinite è vulnerabile, rendendo difficile individuare un attacco in corso.
Gli attori malevoli potrebbero sfruttare queste debolezze per dirottare artefatti nelle dipendenze delle applicazioni, iniettando codice dannoso. In alcuni casi, potrebbero compromettere l’intero processo di compilazione attraverso l’inserimento di plugin maligni.
Tutte le tecnologie basate su Maven, compresa Gradle, sono soggette a questo tipo di attacco. Oversecured ha segnalato la vulnerabilità a oltre 200 aziende, tra cui Google, Facebook, Signal e Amazon.
Apache Maven, ampiamente utilizzato per la gestione di progetti Java, diventa un terreno fertile per questo attacco. Gli attaccanti possono mirare ai repository pubblici, sfruttando librerie abbandonate aggiunte a repository noti.
Il processo di attacco coinvolge l’acquisto di domini rovesciati scaduti, controllati dai proprietari delle dipendenze. Gli attaccanti ottengono accesso ai groupIds, rendendo possibile la manipolazione delle dipendenze.
La comunità della sicurezza è in allerta, mentre Sonatype, proprietaria di Maven Central, ha adottato misure di sicurezza, disabilitando gli account associati ai domini e progetti scaduti. Tuttavia, si ritiene che il rischio persista, evidenziando l’importanza che sviluppatori e utenti finali assumano nella sicurezza delle dipendenze dirette e transitive.