Popüler JsonWebToken (JWT) açık kaynak şifreleme projesinde, saldırganlar tarafından hedef şifreleme sunucusunda uzaktan kod yürütme (RCE) gerçekleştirmek için kullanılabilecek yüksek önem dereceli bir güvenlik açığı (CVE-2022-23529) keşfedildi.
JWT açık standardı, JSON verilerini kodlayarak ve imzalayarak bilgileri güvenli bir şekilde aktarma yöntemini tanımlar. Palo Alto Networks Unit 42’deki araştırmacılara göre, güvenlik açığından yararlanma, sunucunun kötü amaçlarla oluşturulmuş bir JSON web belirteci isteğini doğrulamasıyla sonuçlanıyor.
Unit 42 güvenlik araştırmacısı Artur Oleyarsh, “Bir sunucuda kötü amaçlı kod çalıştırmak, büyük bir hasara, gizlilik ve bütünlük kaybına yol açabilir ve ayrıca hizmet reddine neden olabilir” uyarısında bulunuyor. “Savunmasız sunucuyla ilgili ve onunla iletişim kuran sistemler de zarar görebilir, bu nedenle saldırı potansiyeli ve sistem bir uzaktan kod yürütme için savunmasız hale geldikten sonraki sonuçlar önemli.”
Sorun, önceki ve v8.5.1 dahil olmak üzere JWT sürümlerini kullanan herkes için bir tehdit oluşturuyor. Unit 42’den 9 Ocak’ta yapılan bir gönderiye göre paketin yamalı versiyonu v9.0.0.
Oleyarsh, genellikle, JSON Web belirteçleriyle ilgili güvenlik açıklarının, kötü niyetli bir aktörün kimlik doğrulama ve yetkilendirme mekanizmalarını atlamasına izin veren farklı belirteç dövme teknikleriyle ilgili olduğunu açıklıyor.
“Bu onlara [the] hesapları devralma, kullanıcıların kimliğine bürünme ve ayrıcalıkları yükseltme fırsatı” diyor. Ancak, “bu son güvenlik açığı birkaç nedenden dolayı benzersiz. İlk olarak, burada JSON web belirteçlerini doğrulayan bir ana bilgisayarda kod yürütmekten bahsediyoruz.”
CVE-2022-23529’un Kapağının Altında
Hata, kimlik doğrulama veya yetkilendirme mekanizmalarını atlamak yerine, bir siber saldırganın “jwt.verify” işlevinin (gizliOrPublicKey olarak bilinir) bir anahtar alma parametresi üzerinde denetim kazanması için bir yol sağlar.
Bir kavram kanıtı istismarında, Birim 42, anahtar nesnenin “toString()” yöntemini geçersiz kılmayı başardı.
Oleyarsh, “JavaScript’te, Object.prototype’tan miras alan her nesne, toString() yöntemini miras alır” diyor. “Dolayısıyla, bu yönteme körü körüne güvenilen bir çağrı varsa ve biz anahtar nesneyi kontrol edersek, onun toString()’ini kötü amaçlı içerikle geçersiz kılabilir ve rasgele kod çalıştırabiliriz.”
Açık Kaynak Kullanımı Siber Tehdit Düzeyiyle Birlikte Artıyor
Açık kaynaklı yazılımların (OSS) kullanımı artmaya devam ettikçe, siber saldırganların yazılım bileşenlerini ve JWT gibi paketleri bir saldırı vektörü olarak kullanmaya olan ilgisi de artıyor.
“Tehdit aktörlerinin aktif olarak bilinen güvenlik açıklarını taradığını ve dakikalar içinde bunlardan yararlandığını görüyoruz.” Oleyarş diyor. “OSS güvenliğine dikkat ve farkındalık olmazsa, OSS güvenlik sorunlarından yararlanan daha fazla saldırı göreceğimizi düşünüyorum.”
Bir topluluk olarak, güvenlik uygulayıcılarının OSS yazılımını daha güvenli hale getirmek için katkıda bulunmaları ve işbirliği yapmaları gerektiğini söylüyor.
“OSS’nin geliştiricilerinden ve bakımcılarından bazıları, güvenliği göz önünde bulundurarak çözümler geliştiriyor; bu, sürekli olarak güvenlik açıklarını düzelttikleri, savunmasız bağımlılıkları taradıkları ve güvenlik önerilerini sürdürdükleri ve kullanıcıların güvenlik açığı olmayan sürümler için düzeltme eki uygulayabilmeleri için bunları yayınladıkları anlamına geliyor. ve bazıları değil,” diye belirtiyor Oleyarsh.
Savunma, kimlik ve erişim yönetimine ve güvenlik operasyon merkezi ekiplerinin savunmasız bileşenleri keşfetmesine yardımcı olacak araçlar giderek daha fazla piyasaya sürüldü. Örneğin, Google’ın Aralık ayında piyasaya sürülen OSV-Scanner’ı, bir yazılım geliştirme projesinde bağımlılıkların bir listesini oluşturur ve bilinen güvenlik açıkları için OSV veritabanını kontrol eder.
Oleyarsh, “Bazıları, pek çok sorun için harika ve yaratıcı çözümler yaratmakta ve bunları ücretsiz olarak herkesin kullanımına sunmakta harika bir iş çıkarıyor” diyor. “Kuruluşunuzda OSS uyguluyorsanız, kullandığınız OSS paketlerinin savunmasız sürümlerini ve ayrıca savunmasız bağımlılıkları taramak için OSS paket tarayıcılarını kullanmak iyi bir uygulamadır.”
Bu arada Google, açık kaynaklı yazılımlar için güvenliği desteklemeyi amaçlayan ve özel sektörü bu girişimi desteklemeye çağıran ABD hükümeti öncülüğünde önerilen bir politika çerçevesine önemli bir ağırlık veriyor.
Manuel bir bakış açısıyla Oleyarsh, ekiplerin hatalar hakkında güncel bilgi sahibi olmak için kullandıkları OSS projelerinin güvenlik tavsiyeleri sayfalarına düzenli olarak bakmaları ve tüm hataları izlemeye yardımcı olmak için yazılım kompozisyon analizi (SCA) araçlarını uygulamaya bakmaları gerektiğini ekliyor. bir proje tarafından o süreci bilgilendirmek için kullanılan açık kaynaklı paketler ve modüller.
Ardından, “Güvenlik etkileri olan bir hatayla karşılaştığınızda, bakımcılara özel bir sohbet yoluyla ulaşmak ve sorunu bildirmek ve hatta çözümü önermek ve tartışmak iyi bir uygulamadır” diyor.