Spotify’ın-Backstage-Yazılım-Kataloğu-ve-Geliştirici-Platformunda-Uzaktan-Kod-Yürütme-Hatası-Bildirildi

Spotify’ın Backstage projesinde kimliği doğrulanmamış RCE Güvenlik açığı keşfedildi. Güvenlik açığı (CVSS puanı:9,8) geçen aylarda çıkan JavaScript sanal alan kitaplığı (Sandbreak) olan vm2’de kritik bir sanal alan sızıntısından yararlanıyor.

Backstage Platformu Nedir?

Backstage, geliştirici portalları oluşturmak için açık kaynak bir platformdur. Spotify, American Ailrlenes, Netflix, Splunk… tarafından da yaygın olarak kullanılmaktadır. Uçtan uca kolaylaştırılmış bir geliştirme ortamı oluşturmak için tüm altyapı araçlarını, hizmetleri ve belgeleri birleştirir.

Güvenlik Açığı Hakkında:

Oxeye (Uygulama Güvenlik Firması) ekibi ‘Kimliği doğrulanmamış bir tehdit aktörü, Scaffolder çekirdek eklentisindeki bir vm2 sanal alan çıkışından yararlanarak bir Backstage uygulamasında keyfi sistem komutları yürütebilir’ dedi. Yapılan paylaşım: 

Oxeye ‘a göre açık, Backstage’in software tamplates adı verilen bir araçtan kaynaklanmakta.

spotify-backstage-yazilimi
Oxeye, Scaffolder eklentisine saldırarak kod çalıştırmak için bir kod bloğu geliştirdi ve bunu yerel bir dağıtım üzerinde denedi. 

kod-blogu

Kötü amaçlı kod, söz konusu eklentinin işleme motorunun değiştirilmiş bir işlevine enjekte edildi, sanal makine bağlamında çalıştırıldı ve tanımsız bir işlevi çağıran bir hata tarafından tetiklendi.

Yük, korumalı alanın dışında bir CallSite nesnesi oluşturarak saldırganın ana bilgisayar sisteminde rastgele komutlar yürütmesine olanak tanır. Bağlantıda bulunan saldırı şemasına gidebilirsiniz.

Şu anda, 1.5.1’den önceki Backstage sürümlerini çalıştıran örneklerin sayısı bilinmiyor.

Çıkan bu açık sonucunda güvenlik yöneticilerine Backstage’in en son sürümüne yükseltilmesi önerilir.

Kaynakça:

Spotify’ın Backstage Yazılım Kataloğu ve Geliştirici Platformunda Kritik RCE Hatası Bildirildi (thehackernews.com)

Araştırmacılar, Backstage ön kimlik doğrulama RCE hatası için istismar ayrıntılarını yayınladı (bleepingcomputer.com)

Oxeye (@OxeyeSecurity) / Twitter


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


 

< Önceki Sonraki >