Spotify Backstage Development Portal Builder'ın eski sürümleri, saldırganların halka açık sistemlerde komutları çalıştırmasına izin veren kritik (CVSS Puanı: 9.8) kimlik doğrulanmamış uzaktan kod yürütme kusuruna karşı savunmasızdır.
Sorun, Oxeye'daki araştırmacıların geçen ay bir raporda açıkladığı bir VM2 sanal alan kaçış sorununda yatıyor ve belirli JavaScript Sandbox kütüphanesinin kapsamlı bir şekilde konuşlandırılması hakkında uyarıyor.
Sahne arkası VM2 kütüphanesini kullandığından, BT, tedarik zinciri aracılığıyla güvenlik açığından da etkilenmiştir.
Oxeye, sahne arkasındaki etkiyi doğruladı ve 18 Ağustos 2022'de Spotify'ı uyardı. Satıcı daha sonra VM2'nin 3.9.11 sürümüyle yamalanmasından sadece bir gün sonra 29 Ağustos 2022'de yayınlanan bir güncelleme (V 1.5.1) ile hitap etti.
Oxeye ekibi, yerel bir dağıtımda denemek için Sandbox Escape ve kod yürütme için Backstage'ın Scaffolder eklentisine saldırmak için bir çalışma yükü geliştirdi.
Kötü amaçlı kod, söz konusu eklentinin oluşturma motorunun değiştirilmiş bir işleviyle enjekte edildi, sanal makine bağlamında çalıştırıldı ve tanımlanmamış bir işlevi çağıran bir hata ile tetiklendi.
Yük, kum havuzunun dışında bir çağrı nesnesi oluşturur ve saldırganın ana bilgisayar sisteminde keyfi komutlar yürütmesine izin verir.
Oxeye'nin Shodan'daki taramaları, internette halka açık 546 sahne arkası örneğinin, çoğu Amerika Birleşik Devletleri'ne dayanarak sömürülebilir olabileceğini ortaya koydu.
Bu numara büyük olmasa da, sahne arkası Spotify, Netflix, Epic Oyunlar, Jaguar/Land Rover, Mercedes Benz, American Airlines, Splunk, Tui, Oriflame, Twilio, Soundcloud, HP Max, HP Inc dahil olmak üzere birçok büyük firma tarafından kullanılır. , Siemens, VMware ve Ikea.
Bu nedenle, yüksek profilli bir şirkette önemli bir ihlale neden olmak için tek bir savunmasız örnek bile yeterli olabilir.
Daha da kötüsü, sahne arkası API'ları varsayılan olarak kimlik doğrulaması olmadan kullanılabilir. Örnekler ağ filtreleme kuralları veya kimlik yönetimi ile engellenmedikçe, herhangi bir uzak kullanıcı tarafından erişilebilir.
Bu, konuk kullanıcıların kimlik bilgilerine ihtiyaç duymadan potansiyel olarak internete maruz kalan örneklere saldırabileceği anlamına gelir.
Oxeye araştırmacılarını raporlarında "İnternete maruz kalan bazı örneklerin bazı arka uç API sunucusuna doğrudan arka uç API sunucusuna göndermeye çalışırken, bir avuç herhangi bir kimlik doğrulama veya yetkilendirme gerektirmediğini bulduk."
Diyerek şöyle devam etti: "Böylece, güvenlik açığının birçok durumda kimlik doğrulaması yapmadan yararlanabileceği sonucuna vardık."
Şu anda, 1.5.1'den önce sahne arkası sürümleri çalıştıran örneklerin sayısı bilinmemektedir.
Tüm sistem yöneticilerine, geçen hafta çıkan en son sürüm, sahne arkası 1.7.2 sürümüne yükseltmeleri tavsiye edilir.
Oxeye ayrıca, uygulamalarında şablon motorlarını kullananlara, seçimlerini bıyık gibi "mantıksız" motorlarla sınırlandıran, sunucu tarafı şablon enjeksiyonu ve JavaScript yürütme risklerini tanıtmamasını önerir.
Son olarak, araştırmacılar sahne arkası API'larına yetkisiz erişimi önlemek için hem ön hem de arka uç kimlik doğrulamasını sağlama konusunda uyarıyorlar.
Kritik VM2 Koşusu, saldırganların kum havuzunun dışında kod çalıştırmasına izin verir
Microsoft, Azure Cosmos DB'yi etkileyen kritik RCE kusurunu düzeltir
Bilgisayar korsanları kritik VMware kusurunu fidye yazılımı, madenciler için sömürüyor
Apache Commons Metin RCE Kusur - Sakin Olun ve Yama Uzak
Zimbra İşbirliği Süitinde Satılmamış RCE Bug'dan yararlanan bilgisayar korsanları
Kaynak: Bleeping Computer