Proof-of-concept išnaudojimo kodas buvo paskelbtas dėl kritinės nuotolinio kodo vykdymo klaidos protobuf.js – plačiai naudojamas „Google“ protokolų buferių „JavaScript“ diegimas.
Šis įrankis yra labai populiarus Node Package Manager (npm) registre, o vidutiniškai per savaitę atsisiunčiama beveik 50 mln. Jis naudojamas bendravimui tarp tarnybų, realaus laiko programose ir efektyviam struktūrinių duomenų saugojimui duomenų bazėse ir debesų aplinkoje.
Penktadienio ataskaitoje programų saugos įmonė „Endor Labs“ teigia, kad nuotolinio kodo vykdymo pažeidžiamumą (RCE) protobuf.js sukelia nesaugus dinaminio kodo generavimas.
Saugos problema negavo oficialaus CVE numerio ir šiuo metu stebima kaip GHSA-xq3m-2v4x-88gg, GitHub priskirtas identifikatorius.
„Endor Labs“ paaiškina, kad biblioteka kuria „JavaScript“ funkcijas iš „protobuf“ schemų, sujungdama eilutes ir vykdydama jas per „Function()“ konstruktorių, tačiau nepavyksta patvirtinti iš schemos gautų identifikatorių, pvz., pranešimų pavadinimų.
Tai leidžia užpuolikui pateikti kenkėjišką schemą, kuri į sugeneruotą funkciją įveda savavališką kodą, kuris vėliau vykdomas, kai programa apdoroja pranešimą naudodama tą schemą.
Tai atveria kelią į RCE serveriuose arba programose, kurios įkelia užpuoliko paveiktas schemas, suteikia prieigą prie aplinkos kintamųjų, kredencialų, duomenų bazių ir vidinių sistemų ir netgi leidžia judėti į šoną infrastruktūroje.
Ataka taip pat gali paveikti kūrėjų įrenginius, jei jie vietoje įkelia ir iššifruoja nepatikimas schemas.
Trūkumas turi įtakos protobuf.js 8.0.0/7.5.4 ir senesnėms versijoms. „Endor Labs“ rekomenduoja atnaujinti į 8.0.1 ir 7.5.5 versijas, kurios išsprendžia problemą.
Pleistras išvalo tipų pavadinimus, pašalindamas ne raidinius ir skaitinius simbolius, neleisdamas užpuolikui uždaryti sintetinės funkcijos. Tačiau „Endor“ komentuoja, kad ilgalaikis sprendimas būtų visiškai sustabdyti užpuoliko pasiekiamų identifikatorių perkėlimą per funkciją „Funkcija“.
„Endor Labs“ įspėja, kad „išnaudojimas yra nesudėtingas“ ir kad tai atspindi minimalus koncepcijos įrodymas (PoC), įtrauktas į saugos patarimą. Tačiau aktyvaus eksploatavimo laukinėje gamtoje iki šiol nepastebėta.
Apie pažeidžiamumą kovo 2 d. pranešė „Endor Labs“ tyrėjas ir saugos klaidų medžiotojas Cristianas Staicu, o „protobuf.js“ prižiūrėtojai kovo 11 d. išleido pataisą „GitHub“. Npm paketų pataisymai buvo prieinami balandžio 4 d. 8.x filiale ir balandžio 15 d. 7.x šakai.
Be atnaujinimo į pataisytas versijas, „Endor Labs“ taip pat rekomenduoja sistemos administratoriams tikrinti pereinamąsias priklausomybes, traktuoti schemų įkėlimą kaip nepatikimą įvestį ir teikti pirmenybę iš anksto kompiliuotoms / statinėms schemoms gamyboje.
AI sujungė keturias nulio dienas į vieną išnaudojimą, kuris aplenkė tiek atvaizdavimo įrenginį, tiek OS smėlio dėžes. Ateina naujų išnaudojimų banga.
Autonominio patvirtinimo aukščiausiojo lygio susitikime (gegužės 12 ir 14 d.) pamatysite, kaip autonominis, daug konteksto patvirtinantis patvirtinimas randa tai, kas yra išnaudojama, įrodo, kad valdikliai galioja, ir uždaro taisymo kilpą.
