‘Bir arabanın hareket halindeyken lastiklerini değiştirme’ ile karşılaştırıldığında düzeltme
Gatsby Cloud Image CDN hizmetindeki yüksek riskli bir hata, saldırganların, bulutta barındırılan bazı Gatsby web sitelerine karşı sunucu tarafı istek sahteciliği (SSRF) ve siteler arası komut dosyası çalıştırma (XSS) saldırıları düzenlemesine izin verdi.
Gatsby, statik web siteleri oluşturmak için React tabanlı bir JavaScript ve açık kaynak çerçevesi iken, Gatsby Cloud, Gatsby web siteleri oluşturmak ve sunmak için çevrimiçi bir platformdur. Image CDN, Gatsby Cloud’un, uç sunuculardan kaynakları yükleyerek web sitelerinin daha hızlı çalışmasını sağlayan içerik dağıtım ağı hizmetidir.
Harika Gatsby bulmak
Hata, güvenlik araştırmacısı ve Assetnote CTO’su Shubham Shah ve Yuga Labs güvenlik mühendisi Sam Curry tarafından keşfedildi ve bildirildi.
Araştırmacılar başlangıçta bir başka React tabanlı site oluşturucu olan Next.js’de bir güvenlik hatası keşfettiler ve diğer benzer çerçeveleri araştırmaya karar verdiler ve bu da onları Gatsby güvenlik açığına götürdü. Çift ayrıca, Netlify’daki bir SSRF ve XSS hatası da dahil olmak üzere, son aylarda statik site oluşturucularda benzer hataları ortaya çıkardı.
Kaynakları almak için CDN Görüntüsü işlevi, buldukları istemci tarafından sağlanan URL’leri doğrulamayacak şekilde uygulandı.
Biri görüntüler için diğeri herhangi bir dosya için olmak üzere iki yol hatadan etkilendi. Saldırganlar, sunucuya rasgele URL’ler göndermek ve bunların web sitesi tarafından işlenmesini sağlamak için bu kusurdan yararlanabilir. Gatsby’nin tavsiyesine göre, güvenlik açığı SSRF veya XSS saldırıları tarafından kullanılabilir.
Shah, “Tam okunan SSRF, saldırganların bir bulut ortamındaysa meta veri IP adresi de dahil olmak üzere rastgele URL’lerin içeriğini okumasına izin veriyor” dedi. Günlük Swig. “Yerel ağdaki herhangi bir IP’ye SSRF üzerinden erişilebilir. Bulut ortamlarında, bu hata, meta veri IP adresinden gizli anahtarları veya hassas bilgileri çalmak için yükseltilebilir.”
Shah, bir blog yazısında, hatanın nasıl istismar edilebileceğini ayrıntılı olarak anlattı.
Sömürülebilirlik için uyarılar
Gatsby’de güvenlik mühendisi olan Mike Gualtieri şunları söyledi: Günlük Swig güvenlik açığının yalnızca Gastby Cloud kullanan ve isteğe bağlı Image CDN hizmetini etkinleştirmiş müşterileri etkilediğini belirtti. Hata en son sürümde düzeltildi ve Image CDN’yi etkinleştirirken, sitelerinin savunmasız olması durumunda web yöneticileri uyarılır.
Gualtieri ayrıca SSRF vektörünün müşteriler için çok fazla sömürülebilir risk oluşturmadığını söyledi.
“Tipik olarak bir SSRF güvenlik açığı, bir düşman tarafından internete açık olmayan dahili kaynaklara erişmek için kullanılır. Bu durumda, bir site için görüntüleri depolayan Image CDN ortağımız tarafından barındırılan ortamda yürütülen SSRF, “dedi Gualtieri. “Bu ortam, Gatsby Cloud’dan tamamen ayrılmıştır, bu nedenle verilere maruz kalma veya daha derin sistem erişimi riski olmaz.”
Web güvenlik açıklarıyla ilgili en son haberleri okuyun
Ancak, XSS hatası daha ciddiydi ve kimlik avı veya kimlik doğrulama atlaması için kullanılmış olabilirdi.
“Bir site kimlik doğrulama işlevi içeriyorsa ve güvenli çerez başlıkları ve/veya bir İçerik Güvenliği Politikası ayarlamadıysa, kimlik avı ile birlikte XSS vektörü çerez veya yerel depolama hırsızlığına yol açabilir ve bu da bir saldırganın kimlik doğrulaması yapmasına izin verebilirdi. çalıntı kimlik doğrulama belirteci bağlamında siteye, “dedi Gualtieri.
Hareket halindeki bir arabanın lastiklerini değiştirmek
Güvenlik açığını kapatmak, Gualtieri’nin “hareket halindeyken bir arabanın lastiklerini değiştirmek” ile kıyasladığı zorlu bir mühendislik çalışmasıydı.
Geliştiriciler, düzeltmenin müşteri web sitelerini bozmayacağından emin olmak zorundaydı. Ayrıca, ekibin kamuya açıklama yapmadan önce etkilenen müşterilerle iletişime geçmesi gerekiyordu.
Yamalı sürüm, yalnızca site derlemesine dahil edilen parametrelerin geçerli yollar olarak yorumlanmasını sağlamak için CDN URL’lerini benzersiz bir özel anahtarla şifreler.
Shah, geliştiricilerin kapsamlı kod incelemeleri yapmasını, mantığı incelemesini ve güvenlik sorunları için kaynakların ve havuzların denetlendiğini doğrulamasını önerdi.
Shah, “Çerçeve bunun statik bir site oluşturucu olduğunu belirtse bile, herhangi bir tehlikeli davranış için ön kimlik doğrulaması olan, denetime açık uygulama rotalarını denetleyin” diye uyardı. “Statik site oluşturucular için bulut platformlarının dinamik veya savunmasız rotaları olmadığını varsaymayın.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Kötü amaçlı kavram kanıtları, GitHub kullanıcılarını kötü amaçlı yazılımlara ve daha fazlasına maruz bırakıyor