Поделиться
Bi.Zone WAF защищает от новой атаки на цепочку поставок Polyfill
В начале 2024 г/ китайская компания Funnull выкупила право владения доменом polyfill.io, который ранее использовался легитимным CDN-сервисом. Новый владелец внес изменения в исходный код оригинального файла polyfill.min.js, добавив нелегитимные JavaScript-конструкции, перенаправляющие пользователей на мошеннические веб-сайты. Об этом CNews сообщили представители Bi.Zone.
Исследователи из компании Sansec подтвердили наличие угрозы и отметили, что с тех пор сервис был замечен в реализации несанкционированных действий и аномальной активности.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности Bi.Zone: «Polyfill использовался не только при разработке веб-сайтов, но и в известных NPM-библиотеках. Это означает, что веб-приложения, использующие сервис или связанные с ним библиотеки и фреймворки, автоматически попадают в зону риска. Как и автор оригинального проекта, мы рекомендуем принять необходимые меры безопасности и на время отказаться от использования сервиса».
Для тех, кто не может отследить использование Polyfill, специалисты Bi.Zone WAF совместно с командой анализа защищенности разработали правила санитизации. Они позволяют обнаружить в HTTP-ответе метрики использования сервиса Polyfill и ограничить их работоспособность. Это не позволит браузеру пользователя прочитать нелегитимные веб-теги, обратиться к компрометированному домену сервиса Polyfill и загрузить зараженный JavaScript-модуль.
Поделиться
Короткая ссылка
