Se ha revelado una vulnerabilidad de seguridad crítica en el marco Quarkus Java que podría explotarse potencialmente para lograr la ejecución remota de código en los sistemas afectados.
rastreado como CVE-2022-4116 (Puntuación CVSS: 9,8), un actor malintencionado sin privilegios podría abusar trivialmente de la deficiencia.
«La vulnerabilidad se encuentra en Dev UI Config Editor, que es vulnerable a ataques de host local que podrían conducir a la ejecución remota de código (RCE)», Joseph Beeton, investigador de Contrast Security, quien informó el error. dijo en un escrito.
Quarkus, desarrollado por Red Hat, es un proyecto de código abierto que se utiliza para crear aplicaciones Java en contenedorizado y entornos sin servidor.
Vale la pena señalar que el tema solo afecta a los desarrolladores que ejecutan Quarkus y son engañados para que visiten un sitio web especialmente diseñado, que está incrustado con un código JavaScript malicioso diseñado para instalar o ejecutar cargas útiles arbitrarias.
Esto podría tomar la forma de un ataque de spear-phishing o de un pozo de agua sin requerir ninguna interacción adicional por parte de la víctima. Alternativamente, el ataque se puede llevar a cabo mediante la publicación de anuncios maliciosos en sitios web populares frecuentados por desarrolladores.
los IU de desarrolloque se ofrece a través de un Modo de desarrolloestá obligado a servidor local (es decir, el host actual) y permite a un desarrollador monitorear el estado de una aplicación, cambiar la configuración, migrar bases de datos y borrar cachés.
Debido a que está restringida a la máquina local del desarrollador, la interfaz de usuario de Dev también carece de controles de seguridad cruciales como la autenticación y el uso compartido de recursos de origen cruzado (CORS) para evitar que un sitio web fraudulento lea los datos de otro sitio.
El problema identificado por Contrast Security radica en el hecho de que el código JavaScript alojado en un sitio web con malware puede convertirse en un arma para modificar la configuración de la aplicación Quarkus a través de un Solicitud HTTP POST para desencadenar la ejecución del código.
«Si bien solo afecta el modo Dev, el impacto sigue siendo alto, ya que podría llevar a un atacante a obtener acceso local a su caja de desarrollo», Quarkus. señalado en una asesoría independiente.
Se recomienda a los usuarios que actualicen a la versión 2.14.2.Final y 2.13.5.Final para protegerse contra la falla. Una posible solución es mover todos los puntos finales que no son de aplicación a una ruta raíz aleatoria.