I ricercatori di Positive Security hanno scoperto un cross-site-scripting archiviato senza patch (XSS) difetto che colpisce i mercati Linux.
La vulnerabilità crea la possibilità di deselezionata, wormable attacchi alla catena di approvvigionamento. Sono interessati i marketplace basati su Pling, come AppImage Hub, Look da gnomo, KDE Discover App Store, Pling.com, e XFCE-Look.
Correlata: 7-Un bug polkit vecchio di un anno colpisce alcune distribuzioni Linux
"L'applicazione nativa PlingStore è affetta da una vulnerabilità RCE, che può essere attivato da qualsiasi sito Web mentre l'app è in esecuzione,"dice il rapporto dei ricercatori.
È interessante notare che i ricercatori non sono riusciti a raggiungere il team di Pling, e quindi, hanno deciso di pubblicare i loro risultati. Tuttavia, i team di KDE Discover e Gnome Shell Extension hanno risolto rapidamente altri difetti di gravità inferiore che erano stati segnalati loro.
In che modo i ricercatori hanno scoperto la vulnerabilità di Pling??
I ricercatori hanno recentemente analizzato il modo in cui le app desktop più diffuse gestiscono gli URI forniti dagli utenti, che ha portato alla scoperta di difetti RCE in diverse app. Una di queste app era KDE Discover App Store, che è stato identificato con la vulnerabilità CVE-2021-28117.
libdiscover/backends/KNSBackend/KNSResource.cpp in KDE Scopri prima 5.21.3 crea automaticamente collegamenti a URL potenzialmente pericolosi (che non sono né https:// né http://) basato sul contenuto del sito web store.kde.org. (5.18.7 è anche una versione fissa.), il consulenza ufficiale rivela.
Nel corso della ricerca, sono state scoperte anche altre vulnerabilità nei mercati FOSS.
"Un XSS wormable con potenziale per attacchi alla catena di approvvigionamento sui mercati basati su Pling, e un RCE drive-by che interessa gli utenti dell'applicazione PlingStore sono ancora sfruttabili a partire dal 2021-06-22", osserva il rapporto.
La vulnerabilità di PlingStore
L'app PlingStore contiene anche un difetto XSS, che può essere aumentato a esecuzione di codice remoto.
Questa escalation è possibile perché l'app può installare altre app per impostazione predefinita, utilizzando un meccanismo integrato che esegue il codice a livello di sistema operativo. Lo stesso meccanismo può essere sfruttato da qualsiasi sito Web per eseguire codice nativo arbitrario, a condizione che l'app PlingStore sia aperta in background.
Una volta attivato l'XSS all'interno dell'app, il payload può creare una connessione al server WebSocker locale, inviando così messaggi per eseguire RCE. Questo viene fatto scaricando ed eseguendo un file AppImage, i ricercatori hanno spiegato.
Che dire dei browser??
I browser non implementano la politica della stessa origine per le connessioni WebSocket. Pertanto, è importante convalidare l'origine lato server o implementare un'autenticazione aggiuntiva tramite la connessione WebSocket. Con ocs-manager, questo non è il caso, il che significa che qualsiasi sito Web in qualsiasi browser può avviare una connessione al server WebSocket, e ocs-manager accetterà volentieri qualsiasi comando inviato, il rapporto osserva.
Le patch sono disponibili??
Sfortunatamente, i ricercatori non sono riusciti a raggiungere i team dietro Pling/OpenDesktop/hive01 GmbH; quindi hanno divulgato pubblicamente i risultati per avvisare gli utenti dei problemi esistenti.