Investigadores de Positive Security descubrieron una secuencia de comandos entre sitios almacenada sin parches (XSS) falla que afecta a los mercados de Linux.
La vulnerabilidad crea la posibilidad de que no se controle, gusano ataques a la cadena de suministro. Los afectados son los mercados basados en Pling, como AppImage Hub, Gnomo-Look, Tienda de aplicaciones KDE Discover, Pling.com, y XFCE-Look.
Relacionado: 7-El error polkit de un año afecta a algunas distribuciones de Linux
“La aplicación nativa PlingStore se ve afectada por una vulnerabilidad de RCE, que se puede activar desde cualquier sitio web mientras la aplicación se está ejecutando,"El informe de los investigadores dijo.
Cabe señalar que los investigadores no pudieron comunicarse con el equipo de Pling, y por lo tanto, decidieron publicar sus hallazgos. Sin embargo, los equipos de KDE Discover y Gnome Shell Extension rápidamente solucionaron otras fallas de menor gravedad que se les informaron.
¿Cómo descubrieron los investigadores la vulnerabilidad de Pling??
Los investigadores analizaron recientemente la forma en que las aplicaciones de escritorio populares manejan los URI proporcionados por el usuario., lo que llevó al descubrimiento de fallas de RCE en varias aplicaciones. Una de estas aplicaciones fue KDE Discover App Store, que se identificó con la vulnerabilidad CVE-2021-28117.
libdiscover / backends / KNSBackend / KNSResource.cpp en KDE Descubrir antes 5.21.3 crea automáticamente enlaces a URL potencialmente peligrosas (que no son ni https:// ni http://) basado en el contenido del sitio web store.kde.org. (5.18.7 también es una versión fija.), la asesor oficial revela.
Durante la investigación, También se descubrieron otras vulnerabilidades en los mercados de software libre.
“Un XSS con gusanos con potencial para ataques a la cadena de suministro en los mercados basados en Pling, y un RCE que afecta a los usuarios de la aplicación PlingStore aún son explotables a partir del 22 de junio de 2021 ”, señaló el informe..
La vulnerabilidad de PlingStore
La aplicación PlingStore también contiene un defecto XSS, que se puede escalar a ejecución remota de código.
Esta escalada es posible porque la aplicación puede instalar otras aplicaciones de forma predeterminada, utilizando un mecanismo incorporado que ejecuta código en el nivel del sistema operativo. Ese mismo mecanismo puede ser aprovechado por cualquier sitio web para ejecutar código nativo arbitrario., con la condición de que la aplicación PlingStore esté abierta en segundo plano.
Una vez que se activa el XSS dentro de la aplicación, la carga útil puede crear una conexión con el servidor WebSocker local, enviando mensajes para ejecutar RCE. Esto se hace descargando y ejecutando un archivo AppImage, los investigadores explicaron.
¿Qué pasa con los navegadores??
Los navegadores no implementan la política del mismo origen para las conexiones WebSocket. Por lo tanto, es importante validar el servidor de origen o implementar autenticación adicional a través de la conexión WebSocket. Con ocs-manager, este no es el caso, lo que significa que cualquier sitio web en cualquier navegador puede iniciar una conexión al servidor WebSocket, y ocs-manager aceptará felizmente cualquier comando enviado, el informe señaló.
¿Hay parches disponibles??
Desafortunadamente, los investigadores no pudieron llegar a los equipos detrás de Pling / OpenDesktop / hive01 GmbH; Por lo tanto, divulgaron públicamente los hallazgos para alertar a los usuarios sobre los problemas existentes..