Se instó a los desarrolladores de nodejs a verificar sus proyectos en busca de un paquete débil
Una potencial vulnerabilidad de seguridad «catastrófica» en Netmask, que es un paquete de NPM utilizado por más de 279.000 Fuente abierta Proyectos, corregidos tras la mentira no descubierta de nueve años.
El defecto de validación de entrada incorrecta podría permitir a atacantes remotos no autenticados investigar el fraude de solicitud del lado del servidor (SSRF) en aplicaciones de back-end, dependiendo de Escritura técnica Publicado ayer (28 de marzo) por un investigador de seguridad ‘Símbolos enfermos«.
Máscara de red, Que se utiliza para el análisis de IPv4 CIDR block, se ha descargado más de tres millones de veces durante la semana pasada.
Entre otras cosas, un paquete «ligero» Usado antes API, software de seguridad, proyectos de cifrado, proyectos de back-end y front-end, según Sick.Codes.
El investigador agregó, qué dependencias están en riesgo, «depende completamente de cómo el proyecto las utilice».
Origen aguas arriba
El problema surgió cuando los investigadores de seguridad, incluido Sick.Codes, estaban diseñando una solución de vulnerabilidad crítica separada y la SSRF (CVE-2020-28360) En el paquete de aguas abajo IP privada, Que se utiliza para restringir la interacción de las direcciones IP privadas con los recursos internos de la aplicación.
La máscara de red se utilizó durante el proceso de procesamiento, en particular para ayudar a los investigadores a identificar rangos o bloques de direcciones IP utilizando una notación más simple.
Cuando un becario investigador Victor Viale Encontrado de nuevo SSRF En Private-IP, Sick.Codes, omitido inicialmente «Pensé que otro desarrollador había revertido la dirección IP privada a una expresión regular después de que agregamos la máscara de red». Sin embargo, se descubrió que «solo se filtró IPv6 utilizando la expresión regular» y que la anulación se había originado en sentido ascendente.
‘Superficie de ataque excesiva’
La causa raíz del problema resultó ser la evaluación incorrecta de Netmask para el octeto individual IPv4 que contiene cadenas de octetos como enteros abstractos de la izquierda, lo que resultó en una superficie de ataque excesiva en cientos de miles de proyectos que dependen de Netmask para filtrar o evaluar Ámbitos de bloque IPv4, entrantes y salientes según GitHub Consultoría de seguridad Publicado por Sick.Codes.
El investigador describió el efecto como «catastrófico», afirmando que el error también podría permitir ataques de incrustación de archivos locales o remotos en algunas dependencias.
Hay muchas debilidades que causa.[d] Al hacer esto, le dará vueltas la cabeza ”, prosiguieron los símbolos patológicos.
Cuando se le preguntó sobre escenarios en los que la falla podría explotarse para lograr SSRF, Sick.Codes citó una plataforma en la nube con una función de carga ISO.
El investigador dijo: «Si esa nube usa una máscara de red, el usuario podría enviar http://0177.0.0.1:/root/.ssh/id_rsa, y en lugar de que la aplicación obtenga el archivo ISO, lo obtendrá localmente . » Trago diario.
Este «devastador» ataque «funciona si se está ejecutando FTP».
Por el contrario, con algunas VPN «puedes forzar el uso de una aplicación, que intentará acceder a la red privada, pero esta es en realidad una IP pública».
Calendario de divulgación
La vulnerabilidad (CVE-2021-28918) afecta a Netmask v1.1.0 y versiones anteriores.
Se descubrió el 16 de marzo y se notificó al supervisor del proyecto al día siguiente (17 de marzo).
Después de que la solución inicial causara inadvertidamente otra vulnerabilidad, el 20 de marzo se lanzó una actualización final, la v2.0.
Lea más noticias más recientes sobre el fraude de solicitudes del lado del servidor
Sick.Codes instó a los desarrolladores de nodejs a verificar sus proyectos para el uso de Netmask y actualizarlos inmediatamente si encuentran que el paquete está en uso.
«Fue muy receptivo y trabajó con nosotros en las correcciones, especialmente al obtener el primer parche literalmente días después de informarlo», dijo el investigador, supervisor y director de ingeniería de Netflix, Olivier Poitrey.
El mérito de analizar y remediar la falla también se debe a los investigadores de seguridad. Kelly QoudisY el John Jackson, Y el Nick Sahler.
No hay seguridad en los números
Una vulnerabilidad es un recordatorio útil de las posibles consecuencias desproporcionadas de una falla de seguridad grave en un componente común de código abierto.
Sick.Codes señaló que los 30 mil millones de nodejs instalados la semana pasada se descargaron principalmente mediante canalizaciones de CI / CD automatizadas y sin verificaciones manuales de tiempo de ejecución.
La investigación es el último desafío a los conceptos erróneos, como dice Sick.Codes, «si todos usan» un componente de código abierto, entonces «debe ser» seguro.
A principios de marzo, por ejemplo, la explotación de una nueva tecnología de «confusión de dependencia» llevó a supervisores para el Registro NPM y el Índice de paquetes de Python (PyPI). Elimina miles de paquetes fraudulentos Nombrado por los componentes legítimos comunes.
La IP privada, que se descarga unas 15.000 veces a la semana, estuvo en los titulares debido a otra vulnerabilidad SSRF en noviembre, ya que los atacantes podrían potencialmente eludir el mecanismo de bloqueo de IP para el paquete en orden. Realizar múltiples exploits SSRF.
Leer más La puerta trasera se implantó en el repositorio PHP Git después de que el servidor fuera pirateado
«Food ninja. Freelance fanático de la cultura pop. Wannabe zombie maven. Aficionado a Twitter».
More Stories
El método analógico Aquilon C lleva una nueva pantalla LED a importantes instalaciones corporativas en la ciudad de Nueva York
Diseñado por Blackmagic, SMPTE 2110 y vídeo sobre IP
Parece que los fabricantes de placas base tienen la culpa del fallo de la CPU Intel Core i9 de gama alta