Один из крупнейших проектов Spotify имел довольно серьезную уязвимость в безопасности

Один из крупнейших проектов Spotify имел довольно серьезную уязвимость в безопасности

16 ноября 2022 г.

За кулисами проект открытой платформы Spotify для создания порталов для разработчиков содержал серьезную уязвимость, которая позволяла потенциальным злоумышленникам удаленно выполнять неаутентифицированный код в проекте. Уязвимость была обнаружена поставщиками облачных приложений безопасности Oxeye и впоследствии исправлена ​​Spotify.

Пользователям настоятельно рекомендуется обновить Backstage до версии 1.5.1, которая устранит проблему.

Объясняя, как они обнаружили уязвимость, исследователи Oxeye заявили, что использовали выход из песочницы виртуальной машины через стороннюю библиотеку в vm2, что дает возможность выполнять удаленное выполнение кода без проверки подлинности.

Атаки на основе шаблонов

«Используя побег из песочницы vm2 в основном плагине Scaffolder, который используется по умолчанию, злоумышленники, не прошедшие проверку подлинности, могут выполнять произвольные системные команды в приложении Backstage», — сказал Юваль Островский, архитектор программного обеспечения для Oxeye. «Критические уязвимости облачных приложений, подобные этой, становятся все более распространенными, и очень важно, чтобы эти проблемы устранялись без промедления».

«Наше внимание в этом случае привлекли шаблоны программного обеспечения Backstage и возможность использования шаблонов. «Атаки на основе атак, — сказал Даниэль Абелес, руководитель отдела исследований в Oxeye.— При анализе того, как ограничить этот риск, мы заметили, что механизм шаблонов можно манипулировать для запуска команд оболочки с помощью управляемых пользователем шаблонов с Nunjucks за пределами изолированной среды. .”

Цель Backstage – оптимизировать среду разработки за счет объединения всех инструментов инфраструктуры, сервисов и документации. По словам Oxeye, у него более 19 000 звезд на GitHub, что делает его одной из самых популярных платформ с открытым исходным кодом для создания порталов для разработчиков. Spotify, American Airlines, Netflix, Splunk, Fidelity Investments, Epic Games и Palo Alto Networks, — это лишь некоторые из компаний, использующих Backstage.

Дополнительно объясняя проблему и потенциальные способы ее устранения, исследователи заявили, что корень побега виртуальной машины на основе шаблона смог получить права на выполнение JavaScript в шаблоне. Было объяснено, что механизмы шаблонов без логики, такие как Mustache, предотвращают введение шаблонов на стороне сервера, тем самым устраняя проблему.

«Если вы используете шаблонизатор в приложении, убедитесь, что вы выбрали правильный с точки зрения безопасности. Надежные механизмы шаблонов чрезвычайно полезны, но могут представлять риск для организации», — сказал Галь Гольдштейн, старший исследователь безопасности в Oxeye. «Если вы используете Backstage, мы настоятельно рекомендуем как можно скорее обновить его до последней версии, чтобы защититься от этой уязвимости».

PREVIOUS ARTICLE
NEXT ARTICLE