BI.ZONE WAF защищает от новой атаки на цепочку поставок Polyfill

Недавно стало известно о массовых кибератаках на веб-приложения, использующие Polyfill — популярный сервис JavaScript CDN. Под угрозой оказались более 100 000 веб-сайтов. Специалисты BI.ZONE WAF и группа анализа защищенности BI.ZONE оперативно разработали правила, соблюдение которых обезопасит пользователей.

В начале 2024 года китайская компания Funnull выкупила право владения доменом polyfill.io, который ранее использовался легитимным CDN-сервисом. Новый владелец внес изменения в исходный код оригинального файла polyfill.min.js, добавив нелегитимные JavaScript-конструкции, перенаправляющие пользователей на мошеннические веб-сайты.

Исследователи из компании Sansec подтвердили наличие угрозы и отметили, что с тех пор сервис был замечен в реализации несанкционированных действий и аномальной активности.

Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE:

Polyfill использовался не только при разработке веб-сайтов, но и в известных NPM-библиотеках. Это означает, что веб-приложения, использующие сервис или связанные с ним библиотеки и фреймворки, автоматически попадают в зону риска. Как и автор оригинального проекта, мы рекомендуем принять необходимые меры безопасности и на время отказаться от использования сервиса.

Для тех, кто не может отследить использование Polyfill, специалисты BI.ZONE WAF совместно с командой анализа защищенности разработали правила санитизации. Они позволяют обнаружить в HTTP-ответе метрики использования сервиса Polyfill и ограничить их работоспособность. Это не позволит браузеру пользователя прочитать нелегитимные веб-теги, обратиться к компрометированному домену сервиса Polyfill и загрузить зараженный JavaScript-модуль.