Mit <kes>+ lesen

Hijacking-Angriff auf die Polyfill-Lieferkette

Google hat Maßnahmen ergriffen, um Anzeigen für E-Commerce-Websites zu blockieren, die Polyfill.io verwenden. Ein chinesisches Unternehmen hat die Domain übernommen und die JavaScript-Bibliothek "polyfill.js" so verändert, dass Nutzer auf bösartige und betrügerische Websites umgeleitet werden. Es sollen über 110.000 Websites betroffen sein.

„Der Schutz unserer Nutzer hat für uns oberste Priorität. Wir haben kürzlich ein Sicherheitsproblem entdeckt, das Websites betrifft, die bestimmte Drittanbieter-Bibliotheken verwenden“, erklärte das Unternehmen. „Um betroffenen Werbetreibenden zu helfen, ihre Websites zu sichern, haben wir proaktiv Informationen darüber geteilt, wie man das Problem schnell lösen kann.“

Laut einem Bericht von Sansec sind über 110.000 Websites von dem Angriff betroffen. Sie alle nutzen die Bibliothek.

Polyfill ist eine beliebte Bibliothek, die Unterstützung für moderne Funktionen in Webbrowsern bietet. Anfang Februar wurde die Bibliothek von dem in China ansässigen Content Delivery Network (CDN)-Unternehmen Funnull gekauft. Schon damals waren die Bedenken groß.

Der ursprüngliche Schöpfer des Projekts, Andrew Betts, forderte Website-Besitzer auf, die Bibliothek sofort zu entfernen. Er betonte, dass „heutzutage keine Website die Polyfills in der polyfill[.]io-Bibliothek benötigt“ und dass „die meisten neuen Funktionen von allen wichtigen Browsern schnell übernommen werden – mit einigen Ausnahmen, die generell nicht polyfillbar sind, wie Web Serial und Web Bluetooth.“

Die Entwicklung hat auch dazu geführt, dass Webinfrastruktur-Anbieter wie Cloudflare und Fastly alternative Lösungen anbieten, um Nutzern den Wechsel von polyfill[.]io zu erleichtern. „Es besteht die Sorge, dass jede Website, die einen Link zur ursprünglichen polyfill[.]io-Domain verwendet, jetzt auf Funnull angewiesen ist, um das zugrundeliegende Projekt zu pflegen und zu sichern und das Risiko eines Lieferkettenangriffs zu vermeiden“, erklärten die Cloudflare-Mitarbeiter Sven Sauleau und Michael Tremante. „Ein solcher Angriff würde passieren, wenn die Drittpartei kompromittiert wird oder den Code absichtlich verändert. Das würde dazu führen, dass alle Websites, die das Tool verwenden, gefährdet werden.“

Nutzer auf Sportwetten- und Pornografie umgeleitet

Das niederländische E-Commerce-Sicherheitsunternehmen Sansec berichtete, dass die Domain „cdn.polyfill[.]io“ inzwischen Malware enthält, die Nutzer auf Sportwetten- und pornografische Seiten umleitet. „Der Code hat spezielle Schutzmechanismen gegen Reverse Engineering und wird nur auf bestimmten mobilen Geräten zu bestimmten Zeiten aktiviert“, so Sansec. „Er wird auch nicht aktiviert, wenn er einen Admin-Benutzer erkennt. Außerdem verzögert er die Ausführung, wenn ein Webanalysedienst erkannt wird, vermutlich um nicht in den Statistiken aufzutauchen.“ Das Unternehmen c/side aus San Francisco hat ebenfalls eine Warnung herausgegeben und darauf hingewiesen, dass die Betreiber der Domain Anfang März 2024 einen Cloudflare Security Protection Header zu ihrer Website hinzugefügt haben.

Diese Entwicklungen stehen im Zusammenhang mit einer kritischen Sicherheitslücke, die Adobe Commerce- und Magento-Websites betrifft (CVE-2024-34102, CVSS-Score: 9.8). Trotz verfügbarer Updates seit dem 11. Juni 2024 bleibt diese Lücke weitgehend ungepatcht. „Diese Lücke ermöglicht es, private Dateien (zum Beispiel solche mit Passwörtern) zu lesen“, so Sansec, das die Exploit-Kette CosmicSting nennt. „In Kombination mit dem kürzlich entdeckten iconv-Bug in Linux wird daraus jedoch ein Sicherheitsalbtraum mit Remote-Code-Ausführung.“

Es hat sich auch herausgestellt, dass Dritte API-Administratorzugang erhalten können, ohne eine Linux-Version zu benötigen, die für das iconv-Problem (CVE-2024-2961) anfällig ist. Damit wird das Problem noch schwerwiegender.

Warnung von Cloudflare

Cloudflare hat inzwischen eine neue Warnung herausgegeben, in der es die Betreiber von Websites auffordert, polyfill[.]io zu entfernen, da zu befürchten ist, dass damit bösartiger JavaScript-Code in die Browser der Nutzer eingeschleust wird. Das Unternehmen betonte außerdem, dass es den polyfill[.]io-Dienst nie empfohlen oder die Verwendung des Namens Cloudflare auf dessen Website genehmigt habe und dass es die Betreiber aufgefordert habe, die falsche Aussage zu entfernen.

„Sie haben bisher unsere Aufforderungen ignoriert“, so Matthew Prince, John Graham-Cumming und Michael Tremante von Cloudflare. „Das ist ein weiteres Warnzeichen dafür, dass man ihnen nicht trauen kann.“

Die Website wurde von der Domain-Registrierungsstelle Namecheap offline genommen, ist aber inzwischen auf die Domain polyfill[.]com umgezogen, wie die Entwickler-Sicherheitsplattform Socket berichtet.

Unterdessen wehrt sich Polyfill gegen die erhobenen Anschuldigungen: „Wir haben Medienberichte gefunden, die polyfill verleumden“, sagte das CDN-Unternehmen in einer Erklärung auf X. „Wir möchten klarstellen, dass alle unsere Dienste von Cloudflare gecached werden und es kein Risiko in der Lieferkette gibt.“

Krieg im Open-Source-Land

In einer weiteren Nachricht beschuldigte Polyfill Cloudflare der „wiederholten, unbegründeten und böswilligen Verleumdung“ und sagte: „Ihre unethische Strategie, den Wettbewerb zu unterdrücken, bevor sie für ihre eigenen Produkte werben, ist bedauerlich.“ Diese Auseinandersetzung spielt sich vor dem Hintergrund von zunehmend auf die Open-Source-Gemeinschaft abzielenden Angriffen auf die Lieferkette ab, wie ein Übernahmeversuch der OpenJS Foundation und die Entdeckung von bösartigem Code in der XZ Utils-Bibliothek zeigen.

„Es ist bemerkenswert, dass die Gruppe oder der Angreifer hinter der XZ-Backdoor umfassende Kenntnisse über Open-Source-Projekte wie SSH und libc sowie Fachwissen im Bereich der Code-/Skriptverschleierung hat“, so Kaspersky. Da Websites auf JavaScript für clientseitiges Scripting angewiesen sind, zeigt die polyfill[.]io-Situation, wie böswillige Akteure weit verbreitete Produkte und Dienste kompromittieren können, um vielen Kunden gleichzeitig Schaden zuzufügen. „Unternehmen verlassen sich zunehmend auf JavaScript und Add-ons von Drittanbietern. Es ist daher wichtig, in fortschrittliche und automatisierte Lösungen zu investieren, die das Verhalten und die Integrität von Skripten in Echtzeit überwachen und verwalten können“, so Pedro Fortuna, CTO und Mitbegründer von Jscrambler.

Diesen Beitrag teilen: