Google hat Maßnahmen ergriffen, um Werbung für E-Commerce-Websites zu blockieren, die den Polyfill.io-Dienst nutzen, nachdem ein chinesisches Unternehmen die Domain übernommen und die JavaScript-Bibliothek „polyfill.js“ modifiziert hatte, um Nutzer auf bösartige und betrügerische Websites umzuleiten.

Betroffene Websites

Laut einem Bericht von Sansec, der am Dienstag veröffentlicht wurde, sind mehr als 110.000 Websites, die die Bibliothek einbinden, von diesem Supply-Chain-Angriff betroffen. Polyfill ist eine beliebte Bibliothek, die Unterstützung für moderne Funktionen in Webbrowsern bietet. Bereits im Februar wurden Bedenken laut, nachdem das Projekt von dem in China ansässigen Content Delivery Network (CDN)-Unternehmen Funnull gekauft wurde.

Warnungen und Reaktionen

Der ursprüngliche Ersteller des Projekts, Andrew Betts, forderte Website-Betreiber auf, die Bibliothek sofort zu entfernen. Er betonte, dass „heute keine Website mehr irgendeine der Polyfills in der polyfill[.]io-Bibliothek benötigt“ und dass „die meisten Funktionen, die zur Webplattform hinzugefügt werden, schnell von allen großen Browsern übernommen werden, mit einigen Ausnahmen, die generell nicht polyfill-fähig sind, wie Web Serial und Web Bluetooth.“

Diese Entwicklungen veranlassten auch Webinfrastruktur-Anbieter wie Cloudflare und Fastly dazu, alternative Endpunkte anzubieten, um Nutzern den Umzug von polyfill[.]io zu erleichtern. Cloudflare-Forscher Sven Sauleau und Michael Tremante erklärten: „Die Bedenken bestehen darin, dass jede Website, die einen Link zur ursprünglichen polyfill[.]io-Domain einbindet, nun darauf angewiesen ist, dass Funnull das zugrunde liegende Projekt pflegt und sichert, um das Risiko eines Supply-Chain-Angriffs zu vermeiden.“

Malware-Infektion

Das niederländische E-Commerce-Sicherheitsunternehmen Sansec berichtete, dass die Domain „cdn.polyfill[.]io“ inzwischen dabei erwischt wurde, Malware zu injizieren, die Nutzer zu Sportwetten- und pornografischen Websites umleitet. „Der Code hat spezifische Schutzmechanismen gegen Reverse Engineering und wird nur auf bestimmten mobilen Geräten zu bestimmten Zeiten aktiviert“, so Sansec. „Er wird auch nicht aktiviert, wenn ein Admin-Benutzer erkannt wird und verzögert die Ausführung, wenn ein Web-Analyse-Dienst gefunden wird, vermutlich um nicht in den Statistiken aufzutauchen.“

Sicherheitswarnungen

Das in San Francisco ansässige Unternehmen c/side hat ebenfalls eine Warnung herausgegeben und darauf hingewiesen, dass die Domain-Betreiber zwischen dem 7. und 8. März 2024 eine Cloudflare-Sicherheits-Schutz-Header zu ihrer Website hinzugefügt haben.

Diese Ereignisse folgen auf eine Warnung vor einer kritischen Sicherheitslücke, die Adobe Commerce- und Magento-Websites betrifft (CVE-2024-34102, CVSS-Score: 9.8). Diese bleibt weitgehend ungepatcht, obwohl seit dem 11. Juni 2024 Korrekturen verfügbar sind. „An sich ermöglicht es jedem, private Dateien zu lesen (wie solche mit Passwörtern)“, sagte Sansec und bezeichnete die Exploit-Kette als CosmicSting. „In Kombination mit dem kürzlich entdeckten iconv-Bug in Linux wird dies zum Sicherheitsalbtraum der Remote-Code-Ausführung.“

Es hat sich herausgestellt, dass Dritte ohne eine Linux-Version, die für das iconv-Problem (CVE-2024-2961) anfällig ist, API-Admin-Zugriff erhalten können, was das Problem noch gravierender macht.

4o