Hata, ‘DoS’un ötesinde uçtan uca istismarlar’ bulma hırsından ortaya çıkıyor
Ayrıştırma Sunucusunda uzaktan kod yürütülmesine (RCE) yol açabilecek bir prototip kirlilik güvenlik açığı düzeltildi.
Saldırgan, MongoDB BSON aracılığıyla potansiyel olarak RCE’yi tetikleyebilir [Binary JSON] 8 Kasım’da yayınlanan GitHub güvenlik danışma belgesine göre, kusurdan (CVE-2022-39396) yararlanarak ayrıştırıcı.
Ayrıştırma Sunucusu, iOS, macOS, Android ve tvOS için anında bildirim işlevi sağlayan Node.js için popüler, açık kaynaklı bir API sunucu modülüdür.
ARKA FON Prototip kirliliği: JavaScript uygulamalarını etkileyen tehlikeli ve yetersiz bir güvenlik açığı
İlgili güvenlik araştırmacıları, geliştiricilere yamaları uygulamak için zaman vermek için teknik ayrıntıları saklıyor olsa da, ayrıntı belirsizliğini koruyor, hatanın, yılın başlarında açıkladıkları başka bir prototip kirlilikten RCE’ye sorunuyla karşılaştırılabilir olduğunu biliyoruz. Mart 2022’de ortaya çıkan bu güvenlik açığına, CVSS 10’un olası en yüksek önem derecesi verildi.
Şimdi yama
“Her iki güvenlik açığının da Parse Server’ın varsayılan yapılandırmasını etkilediği ve bir saldırganın herhangi bir kimlik doğrulaması olmadan sistemi uzaktan kontrol etmesine izin verdiği için en yüksek etkiye sahip olduğunu onaylayabilirim.” Mihail ŞçerbakovStockholm’deki KTH Kraliyet Teknoloji Enstitüsü’nden bir araştırmacı, Günlük Swig. “Öyleyse benim tavsiyem, varsa, Parse Server ASAP’ı yamalamaktır.”
Kusur, 4.10.18 ve 5.3.1 sürümlerinde NPM ayrıştırma sunucusu paketinde yamalandı.
Yamalar, MongoDB veritabanı adaptöründe prototip kirliliğini önler. Güncellemeler hemen uygulanamazsa, kullanıcılar bu arada MongoDB BSON ayrıştırıcısı aracılığıyla RCE’yi devre dışı bırakarak kendilerini koruyabilirler.
‘Karmaşık görev’
Hata, Almanya’nın Saarbrücken kentindeki Helmholtz Bilgi Güvenliği Merkezi’nden (CISPA) Shcherbakov, KTH meslektaşı Musard Balliu ve Cristian-Alexandru Staicu tarafından yürütülen bir araştırma projesi sırasında keşfedildi.
Üçlü, Node.js sistemlerindeki prototip kirlilik güvenlik açıklarının RCE saldırılarına nasıl yol açabileceğini araştırdı.
Shcherbakov, “Prototip kirliliğinin tespiti karmaşık bir iştir” dedi. “Ancak, güvenlik açıklarının yüksek etkisini gösteren istismar, pratikte daha karmaşık ama yine de mümkün.”
Araştırmacılar, Node.js’nin NPM CLI ve Rocket.Chat’i de hedefleyen bulgularını beyaz bir kağıtta (PDF) sundular. Araştırmalarını USENIX Security ’23 konferansında sunacaklar.
Evrensel gadget’lar
Node.js’yi ve JavaScript gibi prototip tabanlı dilleri etkileyen prototip kirliliği, çalışma zamanında bir nesnenin kök prototipine “özellikler” enjekte etmeyi içerir. [to] daha sonra, nesnenin prototipinde bu özelliklere erişen meşru kod gadget’larının yürütülmesini tetikler”, açıklıyor sunumun kesinliği.
Araştırmacılar, “tam teşekküllü Node.js uygulamalarında DoS’nin ötesinde uçtan uca açıklardan yararlanmayı” ve “Node.js kitaplıklarındaki prototip kirliliğini belirlemek için çok etiketli statik leke analizi kullanan ilk çok aşamalı çerçeveyi” bulmak için yola çıktılar. ve uygulamaların yanı sıra evrensel gadget’ları algılamak için hibrit bir yaklaşım”.
Ayrıştırma Sunucusu RCE’nin teknik ayrıntıları, sonunda Trend Micro Zero Day Initiative (ZDI) blogu aracılığıyla açıklanacak.
Bu yıl Parse Server’da ele alınan diğer önemli güvenlik hataları arasında, hassas kullanıcı verilerinin kaba kuvvetle tahmin edilmesini sağlayan bir sorun ve Apple Game Center’ı etkileyen yüksek önemde bir kimlik doğrulama atlaması yer alıyor.
İLİŞKİLİ Prototip kirlilik hatası Ember.js uygulamalarını XSS’ye maruz bıraktı