Forskere fra Positive Security opdagede en upatchet lagret cross-site-scripting (XSS) fejl, der påvirker Linux-markedspladser.
Sårbarheden skaber muligheden for ukontrolleret, wormable forsyningskædeangreb. Berørte er Pling-baserede markedspladser, såsom AppImage Hub, Gnome-Look, KDE Discover App Store, Pling.com, og XFCE-Look.
Relaterede: 7-År gammel polkit Bug påvirker nogle Linux Distros
“Den oprindelige PlingStore-applikation er påvirket af en RCE-sårbarhed, som kan udløses fra ethvert websted, mens appen kører,”Sagde forskernes rapport.
Det er bemærkelsesværdigt, at forskerne ikke kunne nå Pling-teamet, og dermed, de besluttede at offentliggøre deres fund. Men, KDE Discover- og Gnome Shell-udvidelsesteamene løste hurtigt andre fejl med lavere sværhedsgrad, der blev rapporteret til dem.
Hvordan opdagede forskerne pling-sårbarheden?
Forskerne analyserede for nylig den måde, som populære desktop-apps håndterer brugerleverede URI'er på, hvilket førte til opdagelsen af RCE-fejl i flere apps. En af disse apps var KDE Discover App Store, som blev identificeret med CVE-2021-28117 sårbarheden.
libdiscover / backends / KNSBackend / KNSResource.cpp i KDE Discover før 5.21.3 opretter automatisk links til potentielt farlige webadresser (der er hverken https:// ej heller http://) baseret på indholdet af websiden store.kde.org. (5.18.7 er også en fast version.), den officielle rådgivende afslører.
Under forskning, andre sårbarheder på FOSS-markedspladser blev også afdækket.
”En ormbar XSS med potentiale for angreb på forsyningskæden på Pling-baserede markedspladser, og en drive-by-RCE, der påvirker brugere af PlingStore-applikationen, kan stadig udnyttes fra 2021-06-22, ”bemærkes rapporten.
Sårbarheden i PlingStore
PlingStore-appen indeholder også en XSS-fejl, som kan eskaleres til fjernkørsel af programkode.
Denne optrapning er mulig, fordi appen som standard kan installere andre apps, ved hjælp af en indbygget mekanisme, der udfører kode på OS-niveau. Den samme mekanisme kan udnyttes af ethvert websted til at køre vilkårlig native-kode, med den betingelse, at PlingStore-appen er åben i baggrunden.
Når XSS er udløst i appen, nyttelasten kan oprette en forbindelse til den lokale WebSocker-server, således at sende beskeder for at udføre RCE. Dette gøres ved at downloade og udføre en AppImage-fil, forskerne forklarede.
Hvad med browsere?
Browsere implementerer ikke samme oprindelsespolitik for WebSocket-forbindelser. Derfor, det er vigtigt at validere originalserver-siden eller implementere yderligere godkendelse via WebSocket-forbindelsen. Med ocs-manager, dette ikke er tilfældet, hvilket betyder, at ethvert websted i enhver browser kan starte en forbindelse til WebSocket-serveren, og ocs-manager accepterer med glæde alle sendte kommandoer, rapporten bemærkede.
Er der pletter tilgængelige?
Desværre, forskerne kunne ikke nå holdene bag Pling / OpenDesktop / hive01 GmbH; således afslørede de offentligt resultaterne for at advare brugerne om de eksisterende problemer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: