Schwachstelle in Cocoapods aufgedeckt Millionen iOS-Apps verwundbar für Supply-Chain-Attacke

Anbieter zum Thema

ALE Deutschland GmbH

Sicherheitsforscher bei Eva Information System haben eine sehr alte Schwachstelle in Cocoapods aufgedeckt. Über das Dependency-Management-Tool könnten Angreifer Schadcode in Millionen iOS-, iPadOS- und macOS-Apps einschleusen.

CocoaPods ist ein Abhängigkeitsmanager für Swift- und Objective-C-Projekte, der die Verwaltung und Integration von Drittanbieter-Bibliotheken vereinfacht. Es erleichtert die Einbindung externer Frameworks und Bibliotheken in iOS- und macOS-Entwicklungsumgebungen. Entwickler nutzen CocoaPods, um ihre Projekte modularer und wartbarer zu gestalten. Cocoapods kann Abhängigkeiten automatisch herunterladen, konfigurieren und in das Projekt integrieren. Dadurch entfallen manuelle Konfigurationsschritte und die Gefahr von Versionskonflikten wird reduziert. Das System unterstützt zudem die einfache Aktualisierung und Verwaltung der Abhängigkeiten, was die Entwicklungsarbeit deutlich effizienter gestaltet. Die Forscher gehen davon aus, dass die Lücken in dem System "einen erheblichen Prozentsatz" des Apple-Ökosystems betreffen.

Schwachstelle CVE-2024-38368 gefährdet nahezu Alle Apple-Geräte

Jetzt haben Forscher von Eva Information System eine Schwachstelle in der Lösung identifiziert, die im Grunde genommen nahezu alle Apple-Geräte gefährdet. Die Schwachstelle CVE-2024-38368 wurde zwar behoben, stellt aber noch immer ein Problem dar. Die Lücke stammt aus 2014.

Die Schwachstelle hat es Angreifern ermöglicht, die Kontrolle über ungenutzte Pakete zu übernehmen und Schadcode in iOS- und macOS-Anwendungen einzuschleusen. Ein erfolgreicher Angriff kann weitreichende Folgen haben: Nahezu jedes Apple-Gerät ist potentiell anfällig. Der Fall zeigt die Gefahr, die von Schwachstellen in Dependency-Managern ausgeht. Diese Tools werden oft übersehen, spielen aber eine wichtige Rolle für die Sicherheit der Software-Lieferkette. Entwickler und DevOps-Teams sollten umgehend die Integrität aller Open-Source-Abhängigkeiten in ihrem Code, die von CocoaPods verwaltet werden, überprüfen.

CVE-2024-38366 betrifft die E-Mail-Verifizierung bei Cocoapod

Die Lücke CVE-2024-38366 betrifft die E-Mail-Verifizierung auf dem CocoaPods Trunk-Server. Hierbei können Angreifer durch das Einfügen einer speziell formatierten E-Mail-Adresse eine Befehlsausführung (Command Injection) erzwingen. Diese Schwachstelle entsteht durch die unsichere Verarbeitung von E-Mail-Domänen, die ohne ausreichende Validierung direkt in Betriebssystembefehle eingebunden werden. Entwickler und Organisationen sollten ihre Abhängigkeitslisten und verwendeten Paketmanager gründlich überprüfen, die Prüfsummen von Drittanbieter-Bibliotheken validieren und regelmäßige Scans auf bösartigen Code durchführen.

Aller schlechten Dinge sind drei: CVE-2024-38367

Die Lücke CVE-2024-38367 ermöglicht es Angreifern, durch Ausnutzung unsicherer E-Mail-Verifizierungsprozesse im CocoaPods-Ökosystem Konten ohne Benutzerinteraktion zu übernehmen. Diese Zero-Click-Schwachstelle nutzt Schwächen im Umgang mit dem HTTP-Header "X-Forwarded-Host", der von Angreifern manipuliert werden kann, um den Verifizierungslink an eine von ihnen kontrollierte Domain zu senden. Angreifer könnten den Quellcode von Pods manipulieren, um schädlichen Code in weitverbreitete Anwendungen einzuschleusen.

(ID:50098781)