Se han descubierto tres fallas de seguridad en CocoaPods, el administrador de dependencias para proyectos Swift y Objective-C Cocoa, que podrían explotarse para ataques a la cadena de suministro de software, poniendo en riesgo a los usuarios intermedios.
Detalles de las Vulnerabilidades
Estas vulnerabilidades permiten que «cualquier actor malicioso reclame la propiedad de miles de pods no reclamados e inserte código malicioso en muchas de las aplicaciones iOS y macOS más populares», dijeron los investigadores de seguridad de E.V.A. Reef Spektor y Eran Vaknin en un informe publicado hoy. Los problemas fueron parcheados por CocoaPods en octubre de 2023, y se restablecieron todas las sesiones de usuario en respuesta.
CVE-2024-38368 (CVSS: 9.3)
Esta vulnerabilidad permite que un atacante abuse del proceso «Claim Your Pods» y tome control de un paquete, permitiendo la manipulación del código fuente e introducción de cambios maliciosos. Requiere que todos los mantenedores anteriores hayan sido eliminados del proyecto.
CVE-2024-38366 (CVSS: 10.0)
Este error crítico explota un flujo de trabajo de verificación de correo electrónico inseguro para ejecutar código arbitrario en el servidor Trunk, permitiendo manipular o reemplazar paquetes.
CVE-2024-38367 (CVSS: 8.2)
Esta vulnerabilidad en la verificación de direcciones de correo electrónico podría engañar a un destinatario para que haga clic en un enlace de verificación malicioso, redirigiendo la solicitud a un dominio controlado por el atacante para acceder a los tokens de sesión de un desarrollador. Puede convertirse en un ataque de toma de control de cuenta sin clic mediante la suplantación de un encabezado HTTP y aprovechando herramientas de seguridad de correo electrónico mal configuradas.
Impacto y Mitigación
«Descubrimos que casi todos los propietarios de pods están registrados con su correo electrónico organizacional en el servidor Trunk, lo que los hace vulnerables a nuestra vulnerabilidad de toma de control de clic cero», afirmaron los investigadores. Esta no es la primera vez que CocoaPods enfrenta problemas de seguridad. En marzo de 2023, Checkmarx reveló que un subdominio abandonado asociado con CocoaPods («cdn2.cocoapods[.]org») podría haber sido secuestrado por un adversario para alojar cargas útiles maliciosas.
Para mitigar estos riesgos, CocoaPods ha implementado parches y restablecido sesiones de usuario. Es crucial que los desarrolladores revisen sus configuraciones de seguridad y apliquen las actualizaciones necesarias para proteger sus proyectos.
Fuente: The Hacker News