Eine schwerwiegende Sicherheitslücke in Backstage, ein CNCF-inkubiert, Open-Source-Projekt von Spotify, wurde kürzlich bekannt gegeben. Die Schwachstelle könnte dies ermöglichen Remotecodeausführung Angriffe dank eines anderen Problems in einem Modul eines Drittanbieters. Dieses Problem, bekannt als CVE-2022-36067, ist ein kritischer Sandbox-Escape in vm2, eine bekannte JavaScript-Sandbox-Bibliothek.
CVE-2022-36067 und die Verbindung zur Backstage-Schwachstelle von Spotify
Was ist der offizielle Beschreibung von CVE-2022-36067? „vm2 ist eine Sandbox, die nicht vertrauenswürdigen Code mit den integrierten Modulen von Whitelist-Knoten ausführen kann. In Versionen vor Version 3.9.11, Ein Bedrohungsakteur kann den Sandbox-Schutz umgehen, um Remote-Code-Ausführungsrechte auf dem Host zu erhalten, auf dem die Sandbox ausgeführt wird,“ laut der National Vulnerability Database.
CVE-2022-36067 wurde in der Veröffentlichung von Version gepatcht 3.9.11 von vm2, ohne bekannte Problemumgehungen.
Was ist mit der Backstage-Schwachstelle von Spotify?? Entdeckt vom Forschungsteam von Oxeye, Die Schwachstelle nutzt ein VM-Sandbox-Escape über die vm2-Drittanbieterbibliothek. Im Hinblick auf ihre Auswirkungen, Die Schwachstelle könnte von einem nicht authentifizierten Angreifer ausgenutzt werden, um willkürliche Befehle auf einer Backstage-Anwendung auszuführen, indem ein vm2-Sandbox-Escape im Scaffolder-Core-Plugin genutzt wird.
Backstage ist ein Open-Source-Entwicklerportal von Spotify, das die Erstellung und Verwaltung von Softwarekomponenten von einer einheitlichen Eingangstür aus ermöglicht. Es ist bemerkenswert, dass viele andere Unternehmen Backstage verwenden, darunter Namen wie Expedia und Netflix. Die Forscher sagen, dass der Fehler von einem Tool namens „Software-Vorlagen“ herrührt, das Komponenten innerhalb von Backstage erstellt.
Oxeye machte im August eine verantwortungsvolle Offenlegung 18 2022, und das Problem wurde von den Projektbetreuern in der Backstage-Version behoben 1.5.1 kurz danach. Wenn Sie Backstage in Ihrer Organisation verwenden, Das Team empfiehlt dringend, es auf die neueste Version zu aktualisieren. “Zudem, wenn Sie eine Vorlagen-Engine in Ihrer Anwendung verwenden, Stellen Sie sicher, dass Sie in Bezug auf die Sicherheit das richtige auswählen. Robuste Template-Engines sind äußerst nützlich, können jedoch ein Risiko für Ihr Unternehmen darstellen,” das Unternehmen hinzugefügt.