Açık kaynaklı jsonwebtoken (JWT) kitaplığında, başarılı bir şekilde yararlanılırsa hedef sunucuda uzaktan kod yürütülmesine yol açabilecek yüksek önem dereceli bir güvenlik açığı açıklandı.
Palo Alto Networks Unit 42 araştırmacısı Artur Oleyarsh Pazartesi günkü bir raporda, “Saldırganlar, bu güvenlik açığından yararlanarak, kötü amaçlarla oluşturulmuş bir JSON web belirteci (JWT) isteğini doğrulayarak bir sunucuda uzaktan kod yürütme (RCE) gerçekleştirebilir.” dedi.
şu şekilde izlendi: CVE-2022-23529 (CVSS puanı: 7.6), sorun, kitaplığın 8.5.1 dahil ve altındaki tüm sürümlerini etkiliyor ve 21 Aralık 2022’de gönderilen 9.0.0 sürümünde ele alındı. Kusur, siber güvenlik şirketi tarafından 13 Temmuz’da bildirildi. , 2022.
Okta’nın Auth0 tarafından geliştirilen ve sürdürülen jsonwebtoken, yetkilendirme ve kimlik doğrulama için iki taraf arasında güvenli bir şekilde bilgi iletme aracı olarak kullanıcıların JSON web belirteçlerinin kodunu çözmesine, doğrulamasına ve oluşturmasına olanak tanıyan bir JavaScript modülüdür. npm yazılım kayıt defterinde haftalık 10 milyondan fazla indirmeye sahiptir ve 22.000’den fazla proje tarafından kullanılmaktadır.
Bu nedenle, bir sunucuda kötü amaçlı kod çalıştırma yeteneği, gizlilik ve bütünlük garantilerini ihlal ederek potansiyel olarak kötü bir aktörün ana bilgisayardaki rasgele dosyaların üzerine yazmasına ve zehirli bir gizli anahtar kullanarak seçtikleri herhangi bir eylemi gerçekleştirmesine olanak sağlayabilir.
Oleyarsh, “Bununla birlikte, bu gönderide açıklanan güvenlik açığından yararlanmak ve secretOrPublicKey değerini kontrol etmek için bir saldırganın gizli yönetim sürecindeki bir kusurdan yararlanması gerekecek” dedi.
Açık kaynak yazılımı, tehdit aktörlerinin tedarik zinciri saldırıları düzenlemesi için kazançlı bir ilk erişim yolu olarak giderek daha fazla ortaya çıktıkça, bu tür araçlardaki güvenlik açıklarının alt kullanıcılar tarafından proaktif bir şekilde tanımlanması, hafifletilmesi ve yamalanması çok önemlidir.
Daha da kötüsü, siber suçluların yeni ortaya çıkan kusurlardan yararlanmada çok daha hızlı hale gelmesi ve yama sürümü ile açıklardan yararlanılabilirlik arasındaki süreyi önemli ölçüde kısaltmasıdır. Microsoft’a göre, bir hatanın kamuya ifşa edilmesinden sonra vahşi ortamda bir istismarın tespit edilmesi ortalama olarak yalnızca 14 gün sürüyor.
Bu güvenlik açığı bulma sorunuyla mücadele etmek için Google, geçen ay, bir projenin tüm geçişli bağımlılıklarını tanımlamayı ve onu etkileyen ilgili eksiklikleri vurgulamayı amaçlayan açık kaynaklı bir yardımcı program olan OSV-Scanner’ı piyasaya sürdüğünü duyurdu.