Flaws críticas en CocoaPods exponen aplicaciones de iOS y macOS a ataques de la cadena de suministro

Luis Quiles

julio 1, 2024

Seguridad de Software, Cadena de Suministro

Se han descubierto tres fallos de seguridad en el gestor de dependencias CocoaPods para proyectos Swift y Objective-C Cocoa, que podrían ser explotados para llevar a cabo ataques de cadena de suministro de software, poniendo en riesgo grave a los clientes finales.

Las vulnerabilidades permiten que «cualquier actor malintencionado reclame la propiedad de miles de pods no reclamados e inserte código malicioso en muchas de las aplicaciones más populares de iOS y macOS», según informaron los investigadores de seguridad de E.V.A Information Security, Reef Spektor y Eran Vaknin, en un informe publicado hoy.

La firma israelí de seguridad de aplicaciones dijo que los tres problemas han sido corregidos por CocoaPods desde octubre de 2023. Además, se restablecieron todas las sesiones de usuario en ese momento como respuesta a las revelaciones.

Una de las vulnerabilidades es CVE-2024-38368 (puntuación CVSS: 9.3), que permite a un atacante abusar del proceso «Claim Your Pods» y tomar el control de un paquete, permitiéndoles efectivamente manipular el código fuente e introducir cambios maliciosos. Sin embargo, esto requiere que todos los mantenedores anteriores hayan sido eliminados previamente del proyecto.

El origen del problema se remonta a 2014, cuando una migración al servidor Trunk dejó miles de paquetes con propietarios desconocidos (o no reclamados), lo que permitió a un atacante utilizar una API pública para reclamar pods y una dirección de correo electrónico disponible en el código fuente de CocoaPods («unclaimed-pods@cocoapods.org») para tomar el control.

El segundo error es aún más crítico (CVE-2024-38366, puntuación CVSS: 10.0) y aprovecha un flujo de trabajo de verificación de correo electrónico inseguro para ejecutar código arbitrario en el servidor Trunk, lo que podría ser utilizado para manipular o reemplazar los paquetes.

También se identificó un segundo problema en el servicio en el componente de verificación de direcciones de correo electrónico (CVE-2024-38367, puntuación CVSS: 8.2) que podría inducir a un destinatario a hacer clic en un enlace de verificación aparentemente inofensivo, cuando en realidad redirige la solicitud a un dominio controlado por el atacante para obtener acceso a los tokens de sesión de un desarrollador.

Para empeorar las cosas, esto puede elevarse a un ataque de toma de cuenta sin clic mediante la suplantación de un encabezado HTTP, es decir, modificando el campo del encabezado X-Forwarded-Host, y aprovechando herramientas de seguridad de correo electrónico mal configuradas.

«Nos hemos dado cuenta de que casi todos los propietarios de pods están registrados con su correo electrónico organizacional en el servidor Trunk, lo que los hace vulnerables a nuestra vulnerabilidad de toma de cuenta sin clic,» afirmaron los investigadores.

Esta no es la primera vez que CocoaPods ha estado bajo escrutinio. En marzo de 2023, Checkmarx reveló que un subdominio abandonado asociado con el gestor de dependencias («cdn2.cocoapods[.]org») podría haber sido secuestrado por un adversario a través de GitHub Pages con el objetivo de alojar sus cargas útiles.

Tags :