Forscher von Positive Security entdeckten ein ungepatchtes gespeichertes Cross-Site-Scripting (XSS) Fehler, der sich auf Linux-Marktplätze auswirkt.
Die Schwachstelle schafft die Möglichkeit der ungeprüften, wurmbar Supply-Chain-Angriffe. Betroffen sind Pling-basierte Marktplätze, wie AppImage Hub, Gnome-Look, KDE Discover App Store, Pling.com, und XFCE-Look.
verbunden: 7-Einjähriger Polkit-Bug betrifft einige Linux-Distributionen
„Die native PlingStore-Anwendung ist von einer RCE-Schwachstelle betroffen, die von jeder Website ausgelöst werden kann, während die App läuft,“, sagte der Bericht der Forscher researchers.
Bemerkenswert ist, dass die Forscher das Pling-Team nicht erreichen konnten, und somit, sie beschlossen, ihre Ergebnisse zu veröffentlichen. Jedoch, die Teams von KDE Discover und Gnome Shell Extension haben schnell andere Fehler mit geringerem Schweregrad behoben, die ihnen gemeldet wurden.
Wie haben die Forscher die Pling-Schwachstelle entdeckt?
Die Forscher haben kürzlich analysiert, wie beliebte Desktop-Apps mit von Benutzern bereitgestellten URIs umgehen, was zur Entdeckung von RCE-Fehlern in mehreren Apps führte. Eine dieser Apps war der KDE Discover App Store, die mit der Schwachstelle CVE-2021-28117 identifiziert wurde.
libdiscover/backends/KNSBackend/KNSResource.cpp in KDE Vorher entdecken 5.21.3 erstellt automatisch Links zu potenziell gefährlichen URLs (das sind weder https:// noch http://) basierend auf dem Inhalt der Website store.kde.org. (5.18.7 ist auch eine feste Version.), die offizielle Beratungs enthüllt.
Während der Forschung, auch andere Schwachstellen in FOSS-Marktplätzen wurden aufgedeckt.
„Ein entwurmbares XSS mit Potenzial für Supply-Chain-Angriffe auf Pling-basierte Marktplätze, und eine Drive-by-RCE, die Benutzer der PlingStore-Anwendung betrifft, sind ab dem 22.06.2021 noch ausnutzbar“, heißt es in dem Bericht.
Die PlingStore-Sicherheitslücke
Die PlingStore-App enthält auch einen XSS-Fehler, zu denen eskaliert werden kann Remotecodeausführung.
Diese Eskalation ist möglich, da die App standardmäßig andere Apps installieren kann, unter Verwendung eines integrierten Mechanismus, der Code auf Betriebssystemebene ausführt. Derselbe Mechanismus kann von jeder Website ausgenutzt werden, um beliebigen nativen Code auszuführen, mit der Bedingung, dass die PlingStore-App im Hintergrund geöffnet ist.
Sobald das XSS in der App ausgelöst wird, die Nutzlast kann eine Verbindung zum lokalen WebSocker-Server herstellen, so dass Nachrichten gesendet werden, um RCE auszuführen. Dies geschieht durch das Herunterladen und Ausführen einer AppImage-Datei, Die Forscher erklärten,.
Was ist mit Browsern??
Browser implementieren nicht die Same-Origin-Richtlinie für WebSocket-Verbindungen. Deshalb, Es ist wichtig, die Ursprungsserverseite zu validieren oder eine zusätzliche Authentifizierung über die WebSocket-Verbindung zu implementieren. Mit ocs-manager, ist dies nicht der Fall ist, Das bedeutet, dass jede Website in jedem Browser eine Verbindung zum WebSocket-Server herstellen kann, und ocs-manager nimmt gerne alle gesendeten Befehle an, Der Bericht stellte fest.
Sind Patches verfügbar??
Leider, die Forscher konnten die Teams hinter der Pling/OpenDesktop/hive01 GmbH nicht erreichen; Daher veröffentlichten sie die Ergebnisse öffentlich, um die Benutzer auf die bestehenden Probleme aufmerksam zu machen.