Pesquisadores da Positive Security descobriram um cross-site-scripting armazenado sem patch (XSS) falha afetando os mercados Linux.
A vulnerabilidade cria a possibilidade de, wormable ataques à cadeia de abastecimento. Afetados são os mercados baseados em Pling, como AppImage Hub, Gnome-Look, KDE Discover App Store, Pling.com, e XFCE-Look.
relacionado: 7-Bug polkit de um ano afeta algumas distros Linux
“O aplicativo nativo PlingStore é afetado por uma vulnerabilidade RCE, que pode ser acionado a partir de qualquer site enquanto o aplicativo está em execução,”O relatório dos pesquisadores disse.
Vale ressaltar que os pesquisadores não conseguiram alcançar a equipe Pling, e, assim,, eles decidiram publicar suas descobertas. Contudo, as equipes do KDE Discover e Gnome Shell Extension consertaram rapidamente outras falhas de gravidade inferior que foram relatadas a eles.
Como os pesquisadores descobriram a vulnerabilidade Pling?
Os pesquisadores analisaram recentemente a forma como aplicativos de desktop populares lidam com URIs fornecidos pelo usuário, que levou à descoberta de falhas de RCE em vários aplicativos. Um desses aplicativos foi o KDE Discover App Store, que foi identificado com a vulnerabilidade CVE-2021-28117.
libdiscover / backends / KNSBackend / KNSResource.cpp no KDE Discover antes 5.21.3 cria automaticamente links para URLs potencialmente perigosos (que não são https:// nem http://) com base no conteúdo do site store.kde.org. (5.18.7 também é uma versão fixa.), a consultivo oficial revela.
Durante a pesquisa, outras vulnerabilidades em mercados FOSS também foram descobertas.
“Um XSS wormable com potencial para ataques à cadeia de suprimentos em mercados baseados em Pling, e um RCE drive-by afetando os usuários do aplicativo PlingStore ainda são exploráveis em 2021-06-22 ", observou o relatório.
A vulnerabilidade PlingStore
O aplicativo PlingStore também contém uma falha XSS, que pode ser escalado para execução remota de código.
Esse escalonamento é possível porque o aplicativo pode instalar outros aplicativos por padrão, usando um mecanismo integrado que executa o código no nível do sistema operacional. Esse mesmo mecanismo pode ser explorado por qualquer site para executar código nativo arbitrário, com a condição de que o aplicativo PlingStore esteja aberto em segundo plano.
Uma vez que o XSS é acionado dentro do aplicativo, a carga útil pode criar uma conexão com o servidor WebSocker local, enviando assim mensagens para executar RCE. Isso é feito baixando e executando um arquivo AppImage, os pesquisadores explicaram.
E os navegadores?
Os navegadores não implementam a política de mesma origem para conexões WebSocket. Portanto, é importante validar o lado do servidor de origem ou implementar autenticação adicional por meio da conexão WebSocket. Com ocs-manager, Este não é o caso, o que significa que qualquer site em qualquer navegador pode iniciar uma conexão com o servidor WebSocket, e ocs-manager ficará feliz em aceitar qualquer comando enviado, o relatório observou.
Existem patches disponíveis?
Infelizmente, os pesquisadores não conseguiram alcançar as equipes por trás da Pling / OpenDesktop / hive01 GmbH; assim, eles divulgaram publicamente as descobertas para alertar os usuários sobre os problemas existentes.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: