Charlie Osborne 02 Eylül 2022, 15:11 UTC
Güncelleme: 02 Eylül 2022, 15:18 UTC
Ciddi güvenlik, geliştiricilerin açık kaynak paketini sonlandırmasını ister
Düşük önemdeki hataları arayan kalem test cihazları, açık kaynaklı csurf yazılımında çok daha ciddi bir siteler arası istek sahteciliği (CSRF) kusuru buldu.
İngiltere merkezli siber güvenlik firması Fortbridge’den araştırmacılar, bir müşteri bir sızma testi raporunu gözden geçirmelerini istediğinde çağrıldı. İşaretlenen bir sorun, güvenli bir bayrağın eksik olduğu bir CSRF tanımlama bilgisiydi.
Bulguyu merak eden ekip kazmaya başladı. Fortbridge bulut uygulaması güvenlik danışmanı Adrian Tiron tarafından bir araya getirilen 28 Ağustos tarihli bir blog gönderisine göre, sorun nihayetinde csurf’a dayanan bir node.js uygulamasına kadar takip edildi.
En son bilgi güvenliği araştırma haberlerini ve analizlerini yakalayın
Csurf, geliştiricilerin oturumlar veya tanımlama bilgileri aracılığıyla CSRF belirteci oluşturma ve doğrulama için ara katman yazılımı oluşturmasına olanak sağlamak üzere tasarlanmış bir projedir. NPM paketi, son resmi güncellemesi üç yıl önce olmasına rağmen hala haftada yaklaşık 400.000 kez indiriliyor.
Tiron, popüler paketin CSRF’ye karşı savunma amaçlı olmasına rağmen, son sürüm sürümünden bu yana kodun içinde bir CSRF hatasının hareketsiz kaldığını ve açık kaynak paketini kullanan herhangi bir uygulamayı etkilediğini yazıyor.
Csurf kodunu keşfettikten sonra, kalem test cihazları birkaç sorun buldu. Bunlar, içinde açık metin olarak saklanan sırları içeriyordu. _csrf kurabiye; bozuk SHA-1 şifreleme algoritmasının kullanımı; varsayılan olarak tanımlama bilgileri için imza kontrollerinin olmaması ve farklı adlara sahip gizli veya GET/POST parametrelerine karşı başlık belirteçlerinin doğrulanması.
Ayrıca Tiron, kodda bazı “garip davranışlar” olduğunu açıkladı. Örneğin, uygulama boş XSRF belirteçlerini kabul edecek ve bir salt ve sırdan bir belirteç oluşturmak mümkündü ve saldırganların kendi CSRF belirteçlerini hesaplamasına izin verdi.
çerez atmak
Ekip, aynı ada sahip ikinci bir tanımlama bilgisi ekleyerek ve tanımlama bilgisi atma olarak bilinen belirli Yol niteliklerini ayarlayarak bir uygulamayı kötü amaçlı bir alternatif kullanmaya zorlayarak, CSRF belirteci başlığını GET olarak geçirebilir ve bu süreçte yazılımdan faydalanabilir. .
Tiron, “Tıpkı ticari yazılımlar gibi OSS’de güvenlik açıkları olabilir” dedi. Günlük Swig. “OSS’ye güvenen şirketler, arkasındaki kişilerin genellikle gönüllü olduğunu ve çoğu zaman güvenlik araçları veya kalem testi için bütçe olmadığını anlamalıdır.”
Fortbridge, bulgularını 2 Haziran’da paket geliştiricisine sundu. Sorun bir gün sonra kabul edildi ve daha fazla araştırmadan sonra, bakıcının paketi kullanım dışı olarak işaretlemeye karar verdiği bildirildi.
Tiron bize, “Popüler açık kaynak kitaplıkları, saldırganlar için iyi bir hedef çünkü onu içeren çok sayıda uygulamayı etkiliyorlar” dedi. “Açık kaynak olsa ve birçok gözün ona baktığı varsayılan olsa bile, gerçek şu ki bazen güvenlik becerileri eksiktir veya hata aramaya teşvik yoktur çünkü söz konusu hata ödülü yoktur.”
Tiron şu sonuca varıyor: “Şirketlerin bu alanda çok reaktif olduklarını görüyoruz (sadece yamalamaya güveniyorlar) ve daha proaktif olmalarını ve kendi güvenlik kontrollerini yapmalarını öneriyoruz.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Grafik tabanlı JavaScript hata tarayıcısı, Node.js kitaplıklarında 100’den fazla sıfırıncı gün güvenlik açığı keşfeder