Spotify’ın geliştirici portalları oluşturmaya yönelik açık platform projesi Backstage, potansiyel tehdit aktörlerinin projede kimliği doğrulanmamış kodu uzaktan yürütmesine izin veren yüksek düzeyde bir güvenlik açığı taşıyordu. Açık, bulut yerel uygulama güvenlik sağlayıcıları Oxeye tarafından keşfedildi ve ardından Spotify tarafından yamalandı.
Kullanıcılar, sorunu gideren Backstage’i 1.5.1 sürümüne güncellemelidir.
Güvenlik açığını nasıl keşfettiklerini açıklayan Oxeye araştırmacıları, vm2’deki üçüncü taraf kitaplığı aracılığıyla bir VM sanal alan kaçışından yararlandıklarını ve bunun sonucunda kimliği doğrulanmamış uzaktan kod yürütme yeteneği sağladıklarını söyledi.
Şablon tabanlı saldırılar
Oxeye Yazılım Mimarı Yuval Ostrovsky, “Varsayılan olarak kullanılan Scaffolder çekirdek eklentisindeki bir vm2 korumalı alan çıkışından yararlanarak kimliği doğrulanmamış tehdit aktörleri, bir Backstage uygulamasında keyfi sistem komutlarını yürütme yeteneğine sahip oluyor” dedi. “Bunun gibi kritik bulut yerel uygulama güvenlik açıkları daha yaygın hale geliyor ve bu sorunların gecikmeden ele alınması kritik önem taşıyor.”
Oxeye Araştırma Başkanı Daniel Abeles, “Bu durumda dikkatimizi çeken şey, Backstage yazılım şablonları ve şablon tabanlı saldırı potansiyeliydi. Bu riski nasıl sınırlayacağımızı incelerken, şablon oluşturma motorunun manipüle edilebileceğini fark ettik. yalıtılmış bir ortamın dışında Nunjucks ile kullanıcı tarafından kontrol edilen şablonları kullanarak kabuk komutlarını çalıştırmak için.”
Backstage’in amacı, tüm altyapı araçlarını, hizmetleri ve belgeleri birleştirerek geliştirme ortamını kolaylaştırmaktır. Oxeye’a göre GitHub’da 19.000’den fazla yıldızı var ve bu da onu geliştirici portalları oluşturmak için en popüler açık kaynak platformlarından biri yapıyor. Spotify, American Airlines, Netflix, Splunk, Fidelity Investments, Epic Games ve Palo Alto Networks, Backstage kullanan şirketlerden sadece birkaçı.
Sorunu ve olası çözümleri daha ayrıntılı açıklayan araştırmacılar, şablon tabanlı bir VM kaçışının kökünün, şablon içinde JavaScript yürütme haklarını elde edebildiğini söyledi. Mustache gibi mantıksız şablon motorları, sunucu tarafı şablon enjeksiyonunun getirilmesini önleyerek sorunu ortadan kaldırdığı açıklandı.
“Bir uygulamada şablon motoru kullanıyorsanız, güvenlik açısından doğru olanı seçtiğinizden emin olun. Oxeye’da Kıdemli Güvenlik Araştırmacısı Gal Goldshtein, sağlam şablon motorları son derece kullanışlıdır ancak kuruluş için risk oluşturabilir” dedi. “Backstage kullanıyorsanız, bu güvenlik açığından mümkün olan en kısa sürede korunmak için en son sürüme güncellemenizi şiddetle tavsiye ediyoruz.”