Uma vulnerabilidade de segurança grave no Backstage, uma CNCF incubada, projeto de código aberto do Spotify, foi divulgado recentemente. A vulnerabilidade pode permitir execução remota de código ataques graças a outro problema em um módulo de terceiros. Esse problema, conhecido como CVE-2022-36067, é uma fuga de sandbox crítica em vm2, uma conhecida biblioteca de sandbox JavaScript.
CVE-2022-36067 e a conexão com a vulnerabilidade Backstage do Spotify
O que é descrição oficial do CVE-2022-36067? “vm2 é um sandbox que pode executar código não confiável com módulos integrados do Node na lista de permissões. Em versões anteriores à versão 3.9.11, um agente de ameaça pode ignorar as proteções do sandbox para obter direitos de execução remota de código no host que executa o sandbox,” de acordo com o Banco de Dados Nacional de Vulnerabilidade.
CVE-2022-36067 foi corrigido no lançamento da versão 3.9.11 de vm2, sem soluções alternativas conhecidas.
E a vulnerabilidade Backstage do Spotify?? Descoberto pela equipe de pesquisa da Oxeye, a vulnerabilidade aproveita uma fuga de sandbox de VM por meio da biblioteca de terceiros vm2. Em termos de impacto, a vulnerabilidade pode ser explorada por um agente de ameaça não autenticado para executar comandos arbitrários em um aplicativo Backstage, aproveitando uma fuga de sandbox vm2 no plug-in principal do Scaffolder.
Backstage é um portal de desenvolvedor de código aberto do Spotify que permite a criação e o gerenciamento de componentes de software a partir de uma porta frontal unificada. Vale ressaltar que muitas outras empresas usam o Backstage, incluindo nomes como Expedia e Netflix. Os pesquisadores dizem que a falha decorre de uma ferramenta chamada “modelos de software” que cria componentes dentro do Backstage.
Oxeye fez uma divulgação responsável em agosto 18 2022, e o problema foi corrigido pelos mantenedores do projeto na versão Backstage 1.5.1 Um pouco depois. Se você estiver usando o Backstage em sua organização, a equipe recomenda fortemente atualizá-lo para a versão mais recente. “Além disso, se você estiver usando um mecanismo de modelo em seu aplicativo, certifique-se de escolher o caminho certo em relação à segurança. Mecanismos de modelo robustos são extremamente úteis, mas podem representar um risco para sua organização,” a empresa adicionado.