23andMe и JFrog партнират за решаване на уязвимостта при инжектиране на код

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Изследователите по сигурността в JFrog са работили с биотехнологичната компания 23andMe за справяне с уязвимостта с Yamale, инструмент, написан от компанията и използван от над 200 хранилища.

CVE-2021-38305 позволява на нападателите да заобикалят съществуващите защити и да изпълняват произволен код на Python, като манипулират файла на схемата, предоставен като вход за Yamale, според екипа на JFrog за сигурност.

Говорител на 23andMe заяви пред ZDNet, че 23andMe Security е уведомен за заобиколно решение за корекция, направена на Yamale, библиотеката с отворен код, създадена от компанията, за да провери дали YAML файловете са в правилния формат и имат всички правилни полета.

В блог пост и в интервюта за ZDNet, старшият директор по изследване на сигурността на JFrog Шачар Менаше заяви, че уязвимостта е „изключително тежка, ако съществуват предпоставките за атаката, поради факта, че въздействието е най -голямо (отдалечено изпълнение на код) и експлоатацията е тривиална и стабилна (инжектиране на команда). ”

Блогът подчертава случаите, в които екипът смята, че уязвимостта би била най -използваема.

“Екипът за изследване на сигурността на JFrog в момента извършва сканиране на цялата база данни на PyPI, за да подобри пейзажа на Python кода с отворен код. Чрез автоматично откриване на уязвимости и тяхното разкриване, нашата цел е да помогнем за смекчаване на уязвимости, които застрашават клиентските системи и националната инфраструктура “, Каза Менаше.

„Откритието е открито с помощта на нашата автоматизирана технология за откриване на уязвимости; това са същите типове скенери за кодове, които са открити злонамерените PyPI пакети които разкрихме през юли. Ние използваме нашите скенери в цялата база данни на PyPI и извършваме отговорни разкрития за всички открити уязвимости, след като ги проверим. Тъй като Yamale е на разположение чрез PyPI, той беше сканиран като част от това усилие. 23andMe всъщност написа Yamale за използване като вътрешен инструмент. “

Yamale е популярен валидатор на схеми за YAML, който се използва широко. Нападател, който може да контролира съдържанието на файла на схемата, който се доставя на Yamale, може да предостави привидно валиден файл на схема, който ще доведе до изпълнение на произволен код на Python, обясни Menashe.

Менаше отбеляза, че основният проблем е, че чрез размисъл в Python, нападателят може да “отблъсне” всеки необходим вграден и да изпълни произволен код.

В публикацията в блога изследователите на JFrog казаха, че нападателят трябва да може да посочи съдържанието на файла на схемата, за да инжектира кода на Python, но отбелязват, че това може да се използва дистанционно, ако някаква част от кода на доставчика позволява на нападателя да направи това.

Най -вероятната експлоатация, каза компанията за сигурност, ще включва уязвимости, задействани чрез параметри на командния ред чрез отделен проблем с инжектирането на параметри.

Главният технически директор на JFrog Security Асаф Карас добави, че тъй като YAML е толкова популярен, съвместим и широко използван, той често е обект на атаки.

“Тази празнина позволява на нападателите, които могат да предоставят файл на входна схема, да извършват инжектиране на Python код, което води до изпълнение на кода с привилегиите на процеса Yamale. Препоръчваме да се дезинфекцира всеки вход, който е широко eval () и – за предпочитане – да се заменят eval () повикванията с по -специфични API, необходими за вашата задача “, каза Карас.

Компанията похвали поддръжниците на Yamale за валидирането и отстраняването на проблема „в рекордно кратко време“ и за „отговорното създаване на CVE за проблема, след като фиксираната версия беше налична“.

Говорителят на 23andMe заяви, че оригиналният пластир е предназначен да покрие уязвимост за потребителите, които анализират ненадеждна YAML схема.

“YAML файловете са останали незасегнати и се анализират със безопасен товарач. 23andMe активно работи по решение. Междувременно ще добавим бележка към readme на проекта, която по -изрично заявява, че схемите YAML винаги трябва да идват от надежден източник, “, заяви говорителят.

“Този инструмент не се прилага в никакви процеси на 23andMe и не влияе по никакъв начин на клиентския опит или данните на клиентите. Благодарни сме за хакерите с бели шапки, които алармираха нашия екип и канят други да се присъединят към наскоро създадената ни програма Bug Bounty, “, допълват от компанията.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •