旧版本的 Spotify Backstage 开发门户构建器容易受到严重(CVSS 评分:9.8)未经身份验证的远程代码执行缺陷的影响,允许攻击者在公开暴露的系统上运行命令。
问题在于 Oxeye 的研究人员在 上个月的一份报告中披露的 vm2 沙箱逃逸问题,警告特定 JavaScript 沙箱库的广泛部署。
由于 Backstage 使用 vm2 库,它也通过供应链受到漏洞的影响。
Oxeye 确认了 Backstage 的影响,并于 2022 年 8 月 18 日通知了 Spotify。供应商随后通过 2022 年 8 月 29 日发布的更新 (v 1.5.1) 解决了这个问题,就在 vm2 被 3.9.11 版修补的第二天。
Oxeye 团队开发了一个有效载荷来攻击 Backstage 的 Scaffolder 插件以进行沙箱逃逸和代码执行,并在本地部署中进行了试用。
恶意代码被注入到所述插件渲染引擎的修改函数中,在虚拟机的上下文中运行,并由调用未定义函数的错误触发。
有效负载在沙箱外创建一个 CallSite 对象,允许攻击者在主机系统上执行任意命令。
缺陷影响和缓解
Oxeye 对 Shodan 的扫描显示,互联网上有 546 个公开暴露的 Backstage 实例可以被利用,其中大部分位于美国。
虽然这个数字并不大,但 Backstage 被许多大公司使用,包括 Spotify、Netflix、Epic Games、Jaguar/Land Rover、Mercedes Benz、American Airlines、Splunk、TUI、Oriflame、Twilio、SoundCloud、HBO Max、HP Inc 、西门子、VMware 和宜家。
因此,即使是一个易受攻击的实例也足以在一家知名公司中造成重大破坏。
更糟糕的是,Backstage API 默认情况下无需身份验证即可使用。除非实例被网络过滤规则或身份管理阻止,否则任何远程用户都可以访问它们。
这意味着来宾用户可以在不需要凭据的情况下攻击暴露在 Internet 上的实例。
Oxeye 研究人员在他们的报告中警告说:“当尝试将请求直接发送到某些暴露于互联网的实例的后端 API 服务器时,我们发现少数不需要任何形式的身份验证或授权 。 ”
“因此我们得出结论,在许多情况下无需身份验证即可利用该漏洞。”
目前,运行 1.5.1 之前 Backstage 版本的实例数量未知。
建议所有系统管理员升级到上周发布的最新版本 Backstage 1.7.2 版。
Oxeye 还建议那些在他们的应用程序中使用模板引擎的人将他们的选择限制在像 Mustache这样的“无逻辑”引擎上,这些引擎不会引入服务器端模板注入和 JavaScript 执行风险。
最后,研究人员警告启用前端和后端身份验证,以防止未经授权访问 Backstage API。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 研究人员发布了Backstage预授权RCE漏洞的利用细节
