Google heeft stappen ondernomen om advertenties te blokkeren voor e-commercesites die de Polyfill.io-service gebruiken nadat een Chinees bedrijf het domein had verworven en de JavaScript-bibliotheek (“polyfill.js”) had aangepast om gebruikers om te leiden naar kwaadaardige en oplichtingssites.
Meer dan 110.000 sites die de bibliotheek insluiten, worden getroffen door de supply chain-aanval, zei Sansec in een rapport van dinsdag.
Polyfill is een populaire bibliotheek die ondersteuning biedt voor moderne functies in webbrowsers. Eerder in februari waren er zorgen over de aankoop door het in China gevestigde Content Delivery Network (CDN) bedrijf Funnull.
De oorspronkelijke maker van het project, Andrew Betts, drong er bij website-eigenaren op aan om het onmiddellijk te verwijderen, en voegde eraan toe dat “geen enkele website vandaag de dag een van de polyfills in de polyfill(.)io-bibliotheek vereist” en dat “de meeste functies die aan het webplatform zijn toegevoegd snel worden overgenomen door alle grote browsers, met enkele uitzonderingen die doorgaans toch niet polygevuld kunnen worden, zoals Web Serial en Web Bluetooth.”
De ontwikkeling was ook aanleiding voor webinfrastructuuraanbieders Cloudflare en Fastly om alternatieve eindpunten aan te bieden om gebruikers te helpen over te stappen van Polyfill.io.
“De zorgen zijn dat elke website die een link naar het oorspronkelijke polyfill.io-domein insluit, nu op Funnull zal vertrouwen om het onderliggende project te onderhouden en te beveiligen om het risico van een supply chain-aanval te voorkomen”, merkten Cloudflare-onderzoekers Sven Sauleau en Michael Tremante op. destijds.
“Een dergelijke aanval zou plaatsvinden als de onderliggende derde partij wordt gecompromitteerd of de code die aan eindgebruikers wordt aangeboden op snode manieren verandert, waardoor alle websites die de tool gebruiken, worden gecompromitteerd.”
Het Nederlandse e-commerce beveiligingsbedrijf zei dat het domein “cdn.polyfill(.)io” sindsdien is betrapt op het injecteren van malware die gebruikers omleidt naar sites voor sportweddenschappen en pornografische sites.
“De code biedt specifieke bescherming tegen reverse engineering en wordt alleen op specifieke uren op specifieke mobiele apparaten geactiveerd”, aldus het rapport. “Het wordt ook niet geactiveerd wanneer het een admin-gebruiker detecteert. Het vertraagt ook de uitvoering wanneer een webanalyseservice wordt gevonden, vermoedelijk om niet in de statistieken terecht te komen.”
Het in San Francisco gevestigde c/side heeft ook een eigen waarschuwing uitgegeven, waarin wordt opgemerkt dat de domeinbeheerders tussen 7 en 8 maart 2024 een Cloudflare Security Protection-header aan hun site hebben toegevoegd.
De bevindingen volgen op een advies over een kritieke beveiligingsfout die gevolgen heeft voor Adobe Commerce- en Magento-websites (CVE-2024-34102, CVSS-score: 9,8), die grotendeels ongepatcht blijft ondanks dat er sinds 11 juni 2024 oplossingen beschikbaar zijn.
“Op zichzelf kan iedereen privébestanden lezen (zoals die met wachtwoorden)”, zei Sansec, die de exploitketen CosmicSting de codenaam gaf. “In combinatie met de recente iconv-bug in Linux verandert het echter in de beveiligingsnachtmerrie van het uitvoeren van code op afstand.”
Sindsdien is gebleken dat derde partijen API-beheerderstoegang kunnen krijgen zonder dat daarvoor een Linux-versie nodig is die kwetsbaar is voor het iconv-probleem (CVE-2024-2961), waardoor het een nog ernstiger probleem wordt.
