MavenGate
Számos Java és Android alkalmazás használt könyvtárat találtak fogékonynak a MavenGate nevű új szoftverellátási lánc támadásra az Oversecured kutatói. A projektekhez való hozzáférést domainnév-vásárlással lehet eltéríteni, és mivel a legtöbb alapértelmezett build-konfiguráció sebezhető, nehéz vagy akár lehetetlen lenne felismerni, hogy támadás történt-e – jelezték a kutatók.
A hiba sikeres kihasználása lehetővé teheti a rosszindulatú szereplők számára, hogy eltérítsék a függőségekben lévő artefaktumokat, és rosszindulatú kódot juttassanak be az alkalmazásba, vagy ami még rosszabb, akár a build folyamatot is kompromittálhatják egy rosszindulatú plugin segítségével. Minden Maven-alapú technológia, köztük a Gradle is sebezhető a támadással szemben.
Ennek eredményeként több mint 200 vállalatnak küldték el a kutatók a jelentést, köztük a Google-nak, a Facebooknak, a Signalnak, az Amazonnak és másoknak. Sikeres kihasználás esetén a támadók beilleszthetik kódjukat az alkalmazásba azáltal, hogy megtámadják annak függőségeit. Fennáll annak a veszélye is, hogy behatolnak az építési folyamatba, és hozzáférnek a vállalat infrastruktúrájához egy plugin-támadáson keresztül.
A túlbiztosított ügyfelek exkluzív hozzáférést kaptak ehhez a kutatáshoz, és segítséget kaptak a sebezhetőségek kijavításában a nyilvános megjelenés előtt, így jelentősen csökkenthetik az Android-alkalmazásaik és a Java-háttérrendszerük elleni potenciális támadások kockázatát.