Neopravená chyba v aplikáciách pre Linux Pling Store môže viesť k útokom na dodávateľský reťazec

Výskumníci v oblasti kybernetickej bezpečnosti odhalili kritickú neopravenú zraniteľnosť ovplyvňujúcu trhoviská bezplatného a open-source softvéru (FOSS) založeného na Plingu pre platformu Linux, ktorá by mohla byť potenciálne zneužitá na útoky na dodávateľský reťazec a na vzdialené spustenie kódu (RCE).

„Linuxové trhy, ktoré sú založené na platforme Pling, sú zraniteľné voči červom [cross-site scripting] s potenciálom pre útok na dodávateľský reťazec,“ uviedol spoluzakladateľ Positive Security Fabian Bräunlein v dnes zverejnenej technickej správe. beh.”

Medzi obchody s aplikáciami založené na Plingu, ktorých sa chyba dotkla, patria:

  • appimagehub.com
  • store.kde.org
  • gnome-look.org
  • xfce-look.org
  • pling.com

PlingStore umožňuje používateľom vyhľadávať a inštalovať linuxový softvér, témy, ikony a ďalšie doplnky, ktoré nemusia byť dostupné na stiahnutie prostredníctvom softvérového centra distribúcie.

Zraniteľnosť vyplýva zo spôsobu, akým stránka s produktovými informáciami v obchode analyzuje HTML alebo vložené polia médií, čím potenciálne umožňuje útočníkovi vložiť škodlivý kód JavaScript, ktorý by mohol viesť k spusteniu ľubovoľného kódu.

“Tento uložený XSS by sa dal použiť na úpravu aktívnych záznamov alebo na uverejňovanie nových záznamov v obchode Pling v kontexte iných používateľov, čo by viedlo k napadnuteľnému XSS,” povedal Bräunlein.

Ešte znepokojujúcejšie je, že by to mohlo umožniť útok XSS červa dodávateľského reťazca, v ktorom by protivník mohol zneužiť užitočnú časť JavaScriptu na nahranie trojanizovaných verzií softvéru a úpravu metadát záznamu obete tak, aby obsahoval a šíril kód útoku.

Vďaka aplikácii PlingStore, ktorá funguje ako jediný digitálny obchod pre všetky vyššie uvedené obchody s aplikáciami, spoločnosť Positive Security poznamenala, že zneužitie XSS možno spustiť z aplikácie, čo v spojení s obídením karantény môže viesť k vzdialenému spusteniu kódu.

„Keďže aplikácia môže inštalovať ďalšie aplikácie, má ďalší vstavaný mechanizmus na spustenie kódu na [operating system] úrovni,” vysvetlil Bräunlein. „Ako sa ukázalo, tento mechanizmus môže zneužiť akákoľvek webová stránka na spustenie ľubovoľného natívneho kódu, kým je aplikácia PlingStore otvorená na pozadí.”

Inak povedané, keď používateľ navštívi škodlivú webovú stránku prostredníctvom prehliadača, XSS sa spustí v aplikácii Pling, keď je spustená na pozadí. Kód JavaScript na webovej lokalite dokáže nielen nadviazať spojenie s miestnym serverom WebSocket, ktorý sa používa na počúvanie správ z aplikácie, ale tiež ho používa na odosielanie správ na spustenie ľubovoľného natívneho kódu stiahnutím a spustením súboru s balíkom .AppImage.

Ba čo viac, podobný nedostatok XSS odhalený na trhu GNOME Shell Extensions by sa dal využiť na zacielenie na počítač obete vydávaním škodlivých príkazov pre rozšírenie prehliadača Gnome Shell Integration a dokonca aj rozšírenia publikované v backdoor.

Berlínska firma zaoberajúca sa kybernetickou bezpečnosťou poznamenala, že chyby boli nahlásené príslušným správcom projektu 24. februára, pričom KDE Project a GNOME Security vydali záplaty na problémy po odhalení. Vzhľadom na skutočnosť, že chyba RCE súvisiaca s PlingStore zatiaľ nie je vyriešená, odporúča sa nespúšťať aplikáciu Electron, kým nebude opravená.

Správa prichádza necelý mesiac po tom, čo boli odhalené vážne bezpečnostné slabiny v niekoľkých populárnych rozšíreniach Visual Studio Code, ktoré by mohli útočníkom umožniť ohroziť miestne počítače, ako aj zostaviť a nasadiť systémy prostredníctvom vývojárskeho integrovaného vývojového prostredia, čo v konečnom dôsledku pripraví cestu pre dodávateľský reťazec. útokov.

“[The flaws] demonštrujú dodatočné riziko spojené s takýmito trhmi,” povedal Bräunlein. “V tomto prostredí môžu aj relatívne malé zraniteľnosti (napr. chýbajúca kontrola pôvodu) viesť k vážnym následkom (riadenie RCE z akéhokoľvek prehliadača so zraniteľnou aplikáciou spustenou na pozadí) . Vývojári takýchto aplikácií musia venovať vysokú úroveň kontroly, aby zaistili ich bezpečnosť.“