News
Piratage du sous-domaine CocoaPods : les explications des experts Checkmarx
mars 2023 par Checkmarx
CocoaPods est LE gestionnaire de dépendances pour les projets iOS et Mac. Il aide les développeurs à ajouter facilement des morceaux de code prédéfinis (appelés « bibliothèques » ou « dépendances ») c’est a dire des fonctionnalités supplémentaires aux applications sans avoir à écrire tout le code.
Détournement de sous-domaine
Le détournement de sous-domaine est un type de cyberattaque au cours de laquelle un attaquant prend le contrôle d’un sous-domaine d’un domaine légitime et l’utilise pour héberger son contenu malveillant ou encore pour lancer des attaques additionnelles. Le pirate peut trouver des paramètres oubliés sur des sites d’hébergement gratuit comme GitHub Pages et la faible validation qui y est appliquée va lui permettre de gagner des privilèges complets et la permission d’utiliser le sous-domaine ciblé.
Casino CocoaPods
Les chercheurs Checkmarx Jossef Harush Kadouri et Guy Nachshon ont découvert que le sous-domaine cdn2.cocoapods.org avait été utilisé il y a des années puis abandonné, mais des enregistrements DNS pointaient toujours cette ressource expirée vers GitHub Pages. Les attaquants l’ont détourné pour héberger un site Web frauduleux de casino en ligne.
Pendant l’enquête de Checkmarx, le sous-domaine a été libéré sur GitHub Pages (probablement en raison d’une mise à jour / erreur des attaquants)
Checkmarx a saisi l’occasion pour créer un répertoire afin de contenir ce sous-domaine et empêcher une autre prise de contrôle par les pirates.Cela est possible tant que le sous-domaine n’est pas occupé par un autre projet GitHub Pages. L’action de configuration est très simple : paramètres, activer GitHub Pages, taper le sous-domaine « cdn2.cocoapods.org »
Conclusion
Les sous-domaines ne doivent pas compromettre la sécurité. La facilité d’utilisation par les pirates d’un domaine abandonné implique leur protection adéquate comme la validation à deux niveaux à mettre en place par GitHub lors du lien d’un domaine à un projet Github Pages par exemple pour restreindre la surface d’attaque. Si des enregistrements de sous-domaines ont été créés pour des projets secondaires devenus obsolètes avec le temps, comme cdn2.cocoapods.org, les chercheurs de Checkmarx suggèrent de les supprimer rapidement sous peine possible de détournement.
Ces éléments ont été envoyés par les chercheurs Checkmarx à CocoaPods pour action.
