Quarkus Java çerçevesinde, etkilenen sistemlerde uzaktan kod yürütülmesini sağlamak için potansiyel olarak istismar edilebilecek kritik bir güvenlik açığı açıklandı.
şu şekilde izlendi: CVE-2022-4116 (CVSS puanı: 9.8), eksiklik herhangi bir ayrıcalık olmadan kötü niyetli bir aktör tarafından önemsiz bir şekilde suistimal edilebilir.
“Güvenlik açığı, uzaktan kod yürütülmesine (RCE) yol açabilecek yerel ana bilgisayar saldırılarına karşı savunmasız olan Dev UI Config Editor’da bulundu”, “Bu hatayı bildiren Contrast Security araştırmacısı Joseph Beeton, söz konusu bir yazıda.
Red Hat tarafından geliştirilen Quarkus, açık kaynak projesi Java uygulamaları oluşturmak için kullanılan konteynırlı ve sunucusuz ortamlar.
belirtmekte fayda var ki, sorun yalnızca Quarkus çalıştıran ve rastgele yükleri yüklemek veya yürütmek için tasarlanmış kötü amaçlı JavaScript koduyla gömülü özel hazırlanmış bir web sitesini ziyaret etmeleri için kandırılan geliştiricileri etkiler.
Bu, kurbanın herhangi bir başka etkileşimini gerektirmeden hedef odaklı kimlik avı veya sulama deliği saldırısı şeklini alabilir. Alternatif olarak, geliştiricilerin sıklıkla ziyaret ettiği popüler web sitelerinde hileli reklamlar sunarak saldırı durdurulabilir.
bu Geliştirici Kullanıcı Arayüzüaracılığıyla sunulan Geliştirme Modubağlıdır yerel ana bilgisayar (yani, geçerli ana bilgisayar) ve bir geliştiricinin bir uygulamanın durumunu izlemesine, yapılandırmayı değiştirmesine, veritabanlarını taşımasına ve önbellekleri temizlemesine olanak tanır.
Geliştiricinin yerel makinesiyle sınırlı olduğu için Dev UI, kimlik doğrulama ve kaynaklar arası kaynak paylaşımı gibi önemli güvenlik denetimlerinden de yoksundur (KORS) sahte bir web sitesinin başka bir sitenin verilerini okumasını önlemek için.
Kontrast Güvenliği tarafından tanımlanan sorun, kötü amaçlı yazılımla dolu bir web sitesinde barındırılan JavaScript kodunun, Quarkus uygulama yapılandırmasını değiştirmek için silah haline getirilebilmesi gerçeğinde yatmaktadır. HTTP POST isteği kod yürütmeyi tetiklemek için.
Quarkus, “Yalnızca Geliştirici Modunu etkilese de, bir saldırganın geliştirme kutunuza yerel erişim elde etmesine yol açabileceğinden etkisi hala yüksek.” kayıt edilmiş bağımsız bir danışmada.
Kusura karşı korunmak için kullanıcıların 2.14.2.Final ve 2.13.5.Final sürümlerine yükseltmeleri önerilir. Olası bir geçici çözüm, uygulama dışı tüm uç noktaları rastgele bir kök yola taşımaktır.
