La récente attaque à grande échelle de la chaîne d’approvisionnement menée via plusieurs CDN, à savoir Polyfill.io, BootCDN, Bootcss et Staticfile qui ont affecté de 100 000 à des dizaines de millions de sites Web ont été attribués à un opérateur commun, selon les chercheurs.

Les chercheurs ont découvert un référentiel public GitHub où les prétendus opérateurs de Polyfill.io avaient accidentellement exposé leurs clés secrètes Cloudflare.

En utilisant ces clés API divulguées, qui étaient toujours actives, les chercheurs ont pu établir qu’un opérateur commun était derrière les quatre domaines et l’attaque plus large de la chaîne d’approvisionnement.

Exposition accidentelle des clés Cloudflare
Des chercheurs en sécurité et des passionnés d’intel open source (OSINT) ont découvert un référentiel GitHub associé au polyfill.io domaine impliqué dans une attaque à grande échelle de la chaîne d’approvisionnement qui aurait maintenant touché des dizaines de millions de sites Web.

Les secrets divulgués dans le référentiel ont permis aux chercheurs d’attribuer l’attaque de la chaîne d’approvisionnement impliquant les 4 services CDN, à savoir, Polyfill.io, BootCDN, Bootcss et Staticfile, à une seule entité.

La découverte a été faite à la suite d’un effort de collaboration entre le chercheur Ze-Zheng Wu, un utilisateur pseudonyme mdmck10, et le groupe de recherche sur la sécurité, MalwareHunterTeam.

Ze-Zheng Wu, développeur et doctorant basé à Hangzhou, en Chine, a découvert un référentiel GitHub intitulé « data.polyfill.com » cela semblait contenir le code source principal associé au site Web.

Le chercheur a observé que le propriétaire du dépôt avait accidentellement téléchargé un.fichier env au dépôt public:

Secrets stockés dans .fichier env exposé dans un référentiel GitHub

Point env (.les fichiers env) sont utilisés par les développeurs et les administrateurs système pour stocker des secrets tels que des clés et des jetons d’API, des variables d’environnement et des paramètres de configuration. En tant que tels, ces fichiers doivent être sécurisés avec des autorisations restrictives et être fortement protégés du public.

Le fichier exposé, comme le montre également Breachtrace , contient un jeton d’API Cloudflare, l’ID de zone Cloudflare (du Polyfill.io domaine), clés API Algolia, entre autres valeurs.

Breachtrace a également observé que les versions antérieures du fichier avaient des informations d’identification MySQL de « production » présentes.

La clé API Cloudflare a permis aux chercheurs, en particulier mdmck10, d’interroger et d’obtenir une liste des zones actives associées au compte Cloudflare particulier.

Une « zone » Cloudflare est un moyen pour les administrateurs de site Web d’organiser et de gérer des domaines dans leur compte Cloudflare, ainsi que des paramètres distincts pour chaque domaine.

Grosso modo, chaque « zone » Cloudflare comprend un nom de domaine, ses paramètres DNS, les dates de création ou de modification de la zone et les métadonnées liées à son propriétaire.

Parmi tous les domaines (ou zones) renvoyés pour le compte Cloudflare, un était pour cdn.polyfill.io. Remarquez comment la zone  » id  » correspond également à l’ID de zone répertorié dans le .fichier env trouvé sur le référentiel GitHub ci-dessus:

ID de zone associé au domaine Polyfill

Le fichier JSON de 430 lignes, partagé par mdmck10, contenait en outre des entrées pour les domaines, staticfile.net, bootcdn.net, bootcss.com, indiquant que ceux-ci étaient gérés sous le même compte utilisateur Cloudflare, exploité par une entité commune.

Alors que Cloudflare n’a jamais autorisé Polyfill.io pour utiliser son logo et son nom et n’a jamais approuvé le service, mercredi, les enregistrements DNS pour Polyfill.io ont mystérieusement basculé sur celui de Cloudflare, indiquant que le service de Cloudflare était au moins partiellement utilisé par les propriétaires de domaine.

Nous avons contacté Cloudflare à l’époque pour savoir s’il était impliqué dans la modification de ces enregistrements DNS ou dans l’atténuation de l’attaque, mais nous n’avons pas eu de réponse.

Une liste de « sponsors » précédemment publiée par les propriétaires de services Polyfill

Attaque plus large probablement en cours depuis juin 2023
MalwareHunterTeam, qui a suivi de près la situation, a attiré l’attention sur le fait que l’avertissement de Google à ses annonceurs concernant l’attaque de la chaîne d’approvisionnement ne se limitait pas à l’intégration de pages de destination publicitaires polyfill.io, mais trois autres services, Bootcss, BootCDN et Staticfile.

Lettre de Google aux annonceurs concernant l’attaque de la chaîne d’approvisionnement

« Mais d’une manière ou d’une autre, tout le monde a sauté de s’en soucier. Certains des premiers articles de la situation mentionnaient ces domaines d’une manière ou d’une autre… et fondamentalement, c’est tout », écrit MalwareHunterTeam dans un fil de discussion sur X (anciennement Twitter).

Le groupe de recherche sur la sécurité a averti que l’impact combiné résultant de ces trois autres services est susceptible d’avoir un impact beaucoup plus important que prévu initialement.

Tout récemment, Matthew Prince, cofondateur et PDG de Cloudflare, a déclaré que « des dizaines de millions de sites Web( 4% du Web) » utilisés Polyfill.io, qualifiant l’incident d ‘ »extrêmement préoccupant » tel quel.

Nullify, un enquêteur médico-légal et chercheur en sécurité basé en Australie, a maintenant fait une observation encore plus inquiétante.

Des références au ‘check_tiaozhuan’, une fonction qui représente le code malveillant injecté existent sur  » les forums chinois datant de juin 2023. »

Depuis, « une version très primitive du même code injecté » était en circulation via BootCSS, selon le chercheur.

Annuler: attaque probablement en cours depuis 2023

Breachtrace a été en mesure de confirmer indépendamment que plusieurs pages de forum en chinois, datées dès le 20 juin 2023, ont des développeurs essayant de déchiffrer et de comprendre le « code obscurci » anormal fourni par BootCSS.

La fonction ‘check_tiaozhuan’, selon les développeurs, vérifierait si un visiteur utilisait un appareil mobile et « redirigerait le navigateur de l’utilisateur vers une autre page »:

Étrange « code obscurci » vu par les développeurs sur BootCSS CDN depuis juin 2023

Chercheurs de Swansea qui ont d’abord tiré la sonnette d’alarme sur le Polyfill.io attaque, ont mis à jour leur liste de domaines associés à l’attaque de la chaîne d’approvisionnement pour inclure:

bootcdn.net
bootcss.com
staticfile.net
staticfile.org
unionadjs.com
xhsbpza.com
union.macoms.la
newcrbpc.com

Situation « Whack-a-mole »: l’impact total n’a pas encore été évalué
L’impact plus large de l’attaque se manifestera probablement dans les semaines à venir et sa portée n’a pas encore été pleinement comprise.

Peu de temps après Polyfill.io a été fermé par Namecheap, un autre service polyfill.com a été lancé par ses opérateurs. Depuis ce matin, polyfill.com n’est plus réactif après avoir également été arrêté.

Dominic Alfieri, analyste de Threat intel, prévient cependant que Polyfill.io les opérateurs auraient pu potentiellement stocker plusieurs domaines à l’avance avec différents bureaux d’enregistrement, citant « polyfill.cloud  » comme exemple possible. Le déploiement actif de ces domaines pourrait rapidement transformer cet incident en une situation de choc, si quelqu’un tombait amoureux de ces services.

Les taux de détection des domaines associés à l’attaque restent faibles parmi les principaux moteurs antivirus et des efforts d’investigation humaine peuvent être nécessaires pour auditer vos environnements:

Les gestionnaires de réponse aux incidents et les équipes SOC Defender peuvent tirer parti de la recherche dans leurs journaux SIEM d’événements réseau qui représentent des connexions aux domaines CDN associés à l’incident:

Si vous ne l’avez pas déjà fait, envisagez de remplacer l’utilisation existante de l’un de ces services par des alternatives sûres mises en place par Cloudflare et rapidement.

Polyfill.io de la firme de cybersécurité Leak Signal, est un autre service pratique qui vous permet d’identifier les sites Web en utilisant Polyfill.io et faites le changement.

Breachtrace a tenté de contacter le compte Polyfill Global X pour obtenir des commentaires avant la publication, mais ils ont désactivé DMs. Les domaines Polyfill .io et .com étant désormais désactivés, les adresses e-mail de l’administrateur ne sont plus opérationnelles. Nous avons également contacté Funnull pour obtenir des commentaires, mais notre courrier électronique a rebondi. Nous les avons maintenant approchés par télégramme et attendons une réponse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *