Forskere fra Positive Security opdagede en upatchet lagret cross-site-scripting (XSS) fejl, der påvirker Linux-markedspladser.
Sårbarheden skaber muligheden for ukontrolleret, wormable forsyningskædeangreb. Berørte er Pling-baserede markedspladser, såsom AppImage Hub, Gnome-Look, KDE Discover App Store, Pling.com, og XFCE-Look.
Relaterede: 7-År gammel polkit Bug påvirker nogle Linux Distros
“Den oprindelige PlingStore-applikation er påvirket af en RCE-sårbarhed, som kan udløses fra ethvert websted, mens appen kører,”Sagde forskernes rapport.
Det er bemærkelsesværdigt, at forskerne ikke kunne nå Pling-teamet, og dermed, de besluttede at offentliggøre deres fund. Men, KDE Discover- og Gnome Shell-udvidelsesteamene løste hurtigt andre fejl med lavere sværhedsgrad, der blev rapporteret til dem.
Hvordan opdagede forskerne pling-sårbarheden?
Forskerne analyserede for nylig den måde, som populære desktop-apps håndterer brugerleverede URI'er på, hvilket førte til opdagelsen af RCE-fejl i flere apps. En af disse apps var KDE Discover App Store, som blev identificeret med CVE-2021-28117 sårbarheden.
libdiscover / backends / KNSBackend / KNSResource.cpp i KDE Discover før 5.21.3 opretter automatisk links til potentielt farlige webadresser (der er hverken https:// ej heller http://) baseret på indholdet af websiden store.kde.org. (5.18.7 er også en fast version.), den officielle rådgivende afslører.
Under forskning, andre sårbarheder på FOSS-markedspladser blev også afdækket.
”En ormbar XSS med potentiale for angreb på forsyningskæden på Pling-baserede markedspladser, og en drive-by-RCE, der påvirker brugere af PlingStore-applikationen, kan stadig udnyttes fra 2021-06-22, ”bemærkes rapporten.
Sårbarheden i PlingStore
PlingStore-appen indeholder også en XSS-fejl, som kan eskaleres til fjernkørsel af programkode.
Denne optrapning er mulig, fordi appen som standard kan installere andre apps, ved hjælp af en indbygget mekanisme, der udfører kode på OS-niveau. Den samme mekanisme kan udnyttes af ethvert websted til at køre vilkårlig native-kode, med den betingelse, at PlingStore-appen er åben i baggrunden.
Når XSS er udløst i appen, nyttelasten kan oprette en forbindelse til den lokale WebSocker-server, således at sende beskeder for at udføre RCE. Dette gøres ved at downloade og udføre en AppImage-fil, forskerne forklarede.
Hvad med browsere?
Browsere implementerer ikke samme oprindelsespolitik for WebSocket-forbindelser. Derfor, det er vigtigt at validere originalserver-siden eller implementere yderligere godkendelse via WebSocket-forbindelsen. Med ocs-manager, dette ikke er tilfældet, hvilket betyder, at ethvert websted i enhver browser kan starte en forbindelse til WebSocket-serveren, og ocs-manager accepterer med glæde alle sendte kommandoer, rapporten bemærkede.
Er der pletter tilgængelige?
Desværre, forskerne kunne ikke nå holdene bag Pling / OpenDesktop / hive01 GmbH; således afslørede de offentligt resultaterne for at advare brugerne om de eksisterende problemer.