Een ernstig beveiligingslek in Backstage, een CNCF-geïncubeerd, open source-project van Spotify, is onlangs bekend gemaakt. De kwetsbaarheid kan dit toelaten uitvoering van externe code aanvallen dankzij een ander probleem in een module van derden. Deze kwestie, bekend als CVE-2022-36067, is een kritieke sandbox-ontsnapping in vm2, een bekende JavaScript-sandboxbibliotheek.
CVE-2022-36067 en de verbinding met Spotify's backstage-kwetsbaarheid
Wat is de officiële beschrijving van CVE-2022-36067? “vm2 is een sandbox die niet-vertrouwde code kan uitvoeren met de ingebouwde modules van Node op de witte lijst. In eerdere versies dan versie 3.9.11, een bedreigingsactor kan de sandbox-beveiligingen omzeilen om externe code-uitvoeringsrechten te krijgen op de host waarop de sandbox draait,Dat meldt de Nationale Kwetsbaarheidsdatabase.
CVE-2022-36067 is gepatcht in de release van versie 3.9.11 van vm2, zonder bekende oplossingen.
Hoe zit het met Spotify's Backstage-kwetsbaarheid? Ontdekt door het onderzoeksteam van Oxeye, de kwetsbaarheid maakt gebruik van een VM-sandbox-ontsnapping via de vm2-bibliotheek van derden. In termen van de impact ervan, de kwetsbaarheid kan worden misbruikt door een niet-geverifieerde bedreigingsactor om willekeurige opdrachten uit te voeren op een Backstage-toepassing door gebruik te maken van een vm2-sandbox-ontsnapping in de Scaffolder-kernplug-in.
Backstage is een open-source ontwikkelaarsportaal van Spotify waarmee softwarecomponenten vanuit een uniforme voordeur kunnen worden gemaakt en beheerd. Opvallend is dat veel andere bedrijven Backstage gebruiken, waaronder namen als Expedia en Netflix. De onderzoekers zeggen dat de fout voortkomt uit een tool genaamd "softwaresjablonen" die componenten binnen Backstage maakt.
Oxeye deed in augustus een verantwoorde onthulling 18 2022, en het probleem is opgelost door de projectbeheerders in Backstage-versie 1.5.1 kort daarna. Als u Backstage gebruikt in uw organisatie, het team raadt ten zeerste aan om het bij te werken naar de nieuwste versie. “Bovendien, als u een sjabloon-engine gebruikt in uw toepassing, zorg ervoor dat u de juiste kiest met betrekking tot beveiliging. Robuuste template-engines zijn uiterst nuttig, maar kunnen een risico vormen voor uw organisatie,” het bedrijf toegevoegd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: