OPMERKING: we hebben nu een uitgebreider artikel over de Polyfill-aanval hier.
Het domein cdn.polyfill.io wordt momenteel gebruikt in een web supply chain-aanval. Het hoste vroeger een service voor het toevoegen van JavaScript polyfills aan websites, maar voegt nu kwaadaardige code in scripts in die aan eindgebruikers worden geserveerd.
Onder de +490k websites die doelwit zijn, werd bevestigd dat het domein nog steeds actief was op de Disney-streamingdienst Hulu, The Guardian, Intuit en vele anderen.
Onmiddellijke actie: Controleer uw code op elk gebruik van het polyfill.io-domein en verwijder het uit uw applicaties. Hieronder leggen we uit hoe cside dergelijke bedreigingen kan detecteren en blokkeren. Begin vandaag nog gratis met cside en beveilig uzelf. Gebruik onze scriptscanner om te controleren welke kwetsbaarheden uw site heeft.
Een open-source project genaamd Polyfill stelt websites in staat om moderne JavaScript-functies in oudere browsers te gebruiken door alleen de benodigde polyfills op te nemen op basis van de browser van de gebruiker. In februari 2024 werd het domein polyfill.io gekocht door Funnull, een Chinees bedrijf. Na de verkoop drong de ontwikkelaar, Andrew Betts, er bij gebruikers op Twitter op aan om verwijzingen naar deze CDN te verwijderen:
If your website uses
, remove it IMMEDIATELY.
I created the polyfill service project but I have never owned the domain name and I have had no influence over its sale.
— Andrew Betts (@triblondon)
De populairste CDN-providers hebben sindsdien hun eigen forks gemaakt, waardoor gebruikers een veiligere keuze hebben. De meeste browsers zijn zodanig geëvolueerd dat dit sowieso niet meer nodig is. Een website genaamd Polykill werd gemaakt om dit te rapporteren en de mogelijke oplossingen te bieden. U kunt het gebruiken om te onderzoeken of een site het gecompromitteerde domein gebruikt. Op het moment van schrijven van dit artikel is het niet bijgewerkt met verwijzing naar dit probleem.
Het domein werd betrapt op het injecteren van kwaadaardige code in apparaten via websites die cdn.polyfill.io gebruiken. De kwaadaardige code genereert dynamisch payloads op basis van HTTP-headers, activeert alleen op specifieke mobiele apparaten, ontwijkt detectie, vermijdt beheerders en vertraagt de uitvoering. De code is ook geobfusceerd.
In sommige gevallen ontvangen gebruikers gemanipuleerde JavaScript-bestanden, die een nep Google Analytics-link bevatten https://www.googie-anaiytics.com/gtags.js. Deze neplink leidt gebruikers om naar verschillende sportwedden- en pornografische websites, schijnbaar op basis van hun regio. Maar omdat dit JavaScript is, kunnen op elk moment nieuwe aanvallen worden geïntroduceerd zoals formjacking, clickjacking en bredere gegevensdiefstal.
Een site waarnaar we werden omgeleid bij het testen van deze kwetsbaarheid:
Tussen 7 en 8 maart 2024 voegden de domeinbeheerders een Cloudflare Security Protection-header toe aan hun site, zoals te zien is op het Internet Archive. Het doel ervan werd niet uitgelegd en is niet duidelijk.
Cloudflare heeft sindsdien bevestigd dat ze het gebruik ervan niet hebben geautoriseerd.
Deze aanval plaatst naar schatting +100k websites in onmiddellijk gevaar. Wanneer een ooit veilig domein is ingebed in duizenden websites en verborgen is zoals JavaScript-bedreigingen zijn, wordt het een verleidelijk pad voor kwaadwillende actoren.
Vermoedelijk heeft Funnull, de huidige eigenaar van de domeinen van Polyfill, rond de gerapporteerde tijd dat ze de domeinen kochten (februari 2024) een social media-account met dezelfde naam aangemaakt. In berichten op X (voorheen Twitter) beschuldigen ze Cloudflare, de media en anderen van kwaadwillige laster:
Someone has maliciously defamed us. We have no supply chain risks because all content is statically cached. Any involvement of third parties could introduce potential risks to your website,
but no one would do this as it would be jeopardize our own reputation.
We have already…— Polyfill (@Polyfill_Global)
Onderneem nu actie
De Polyfill-service zelf is nog steeds solide. U kunt uw eigen versie hosten in een veilige en gecontroleerde omgeving zonder problemen. Het probleem ligt bij het domein cdn.polyfill.io dat onmiddellijk van uw sites moet worden verwijderd.
Third-party bronnen bevinden zich in een zeer krachtige positie en zijn dus een waardevol doelwit voor kwaadwillende actoren. CDN's die third-party scripts hosten zijn onderhevig aan aanvallen. In 2021 werden bij cdnjs zelf bepaalde kwetsbaarheden blootgelegd.
Met cside worden door de browser opgehaalde third-party afhankelijkheden niet langer rechtstreeks naar de derde partij gemaakt. In plaats daarvan reizen ze door de cside detectie- en optimalisatie-engine. Hierdoor kunnen zeer gerichte aanvallen tegen een klein percentage gebruikers worden gedetecteerd. Als er iets kwaadaardigs wordt gedetecteerd, blokkeren we het voordat het aan de eindgebruiker wordt geserveerd.
Onze detectie-engine is in staat om deze wijziging in de daadwerkelijke code te detecteren en te blokkeren. Als een site met cside ook het cdn.polyfill.io had laten proberen om een gemanipuleerd script te laden, zou het niet aan de gebruiker zijn geserveerd.
U zou meteen gewaarschuwd zijn en had geweten op het moment dat dit aan de gang was. We slaan ook de code van het script op en deobfusceren deze zodat u zelf kunt controleren wat het doet.
Op het moment van schrijven van dit artikel markeren threat feeds dit domein niet. Dit onderstreept het feit dat uitsluitend vertrouwen op deze feeds riskant is, zoals we hier vermeldden.
Begin vandaag nog gratis met cside en bescherm uzelf.
