Beveiligingsonderzoekers bij JFrog werkten samen met biotechnologiebedrijf 23andMe om een kwetsbaarheid aan te pakken met Yamale, een tool die door het bedrijf is geschreven en wordt gebruikt door meer dan 200 opslagplaatsen.
CVE-2021-38305 stelt aanvallers in staat om bestaande beveiligingen te omzeilen en willekeurig te werken Python-code door het schemabestand te manipuleren dat als invoer aan Yamale is geleverd, volgens het JFrog-beveiligingsonderzoeksteam.
Een woordvoerder van 23andMe vertelde ZDNet dat 23andMe Security op de hoogte was gesteld van een tijdelijke oplossing voor een patch voor Yamale, de open-sourcebibliotheek die door het bedrijf is gemaakt om te controleren of YAML-bestanden de juiste indeling hebben en alle juiste velden bevatten.
In een blogpost en in interviews met ZDNet zei Shachar Menashe, senior directeur van veiligheidsonderzoek bij JFrog, dat de kwetsbaarheid “extreem ernstig is als de voorwaarden voor de aanval aanwezig zijn, vanwege het feit dat de impact het grootst is”. (externe code-uitvoering) en exploitatie is triviaal en stabiel (commando-injectie).”
De blog belicht de gevallen waarin het team denkt dat de kwetsbaarheid het meest misbruikt kan worden.
“Het JFrog-beveiligingsonderzoeksteam voert momenteel een scan uit van de hele PyPI-database om het landschap van open source Python-code te verbeteren. Door automatisch kwetsbaarheden te detecteren en openbaar te maken, is ons doel om kwetsbaarheden te helpen verminderen die klantsystemen en nationale infrastructuur bedreigen ’, zegt Menashe.
“De bevinding is ontdekt met behulp van onze geautomatiseerde technologie voor het detecteren van kwetsbaarheden; dit zijn dezelfde soorten codescanners die de kwaadaardige PyPI-pakketten hebben gevonden die we in juli hebben bekendgemaakt. We gebruiken onze scanners op de volledige PyPI-database en voeren verantwoorde openbaarmakingen uit op alle gevonden kwetsbaarheden , nadat we ze hebben geverifieerd. Aangezien Yamale beschikbaar is via PyPI, werd het gescand als onderdeel van deze inspanning. 23andMe schreef Yamale eigenlijk voor gebruik als een interne tool.”
Yamale is een populaire schemavalidator voor YAML die veel wordt gebruikt. Een aanvaller die de inhoud van het schemabestand dat aan Yamale wordt geleverd, kan controleren, kan een schijnbaar geldig schemabestand leveren dat ervoor zorgt dat willekeurige Python-code wordt uitgevoerd, legde Menashe uit.
Menashe merkte op dat het onderliggende probleem is dat een aanvaller door Python-reflectie elke benodigde ingebouwde code kan “terugwinnen” en willekeurige code kan uitvoeren.
In de blogpost zeiden JFrog-onderzoekers dat een aanvaller moet in staat zijn om de inhoud van het schemabestand te specificeren om Python-code te injecteren, maar merkte op dat dit op afstand kan worden misbruikt als een stuk leverancierscode een aanvaller toestaat dat te doen.
De meest waarschijnlijke uitbuiting, zei het beveiligingsbedrijf, zou bestaan uit kwetsbaarheden die worden geactiveerd via opdrachtregelparameters via een afzonderlijk probleem met parameterinjectie.
JFrog Security CTO Asaf Karas voegde toe dat, omdat YAML zo populair, compatibel en veel gebruikt wordt, het vaak het doelwit is van aanvallen.
“Door deze kloof kunnen aanvallers die een invoerschemabestand kunnen leveren Python-code-injectie uitvoeren die leidt tot code-uitvoering met de privileges van het Yamale-proces. We raden aan om alle invoer die naar eval() gaat uitgebreid te ontsmetten en – bij voorkeur – eval()-aanroepen te vervangen met meer specifieke API's die nodig zijn voor uw taak,” zei Karas.
Het bedrijf prees de beheerders van Yamale voor het valideren en oplossen van het probleem “in recordtijd” en voor het “op verantwoorde wijze creëren van een CVE voor het probleem na de vaste versie beschikbaar was.”
De 23andMe-woordvoerder zei dat de oorspronkelijke patch bedoeld was om een kwetsbaarheid te dekken voor gebruikers die een niet-vertrouwd YAML-schema parseren.
“YAML-bestanden zijn onaangetast gebleven en worden geparseerd met een veilige lader. 23andMe werkt actief aan een oplossing. In de tussentijd zullen we een opmerking toevoegen aan de leesmij van het project waarin explicieter wordt vermeld dat YAML-schema's altijd van een vertrouwde bron moeten komen, “, aldus de woordvoerder.
“Deze tool is niet geïmplementeerd in bedrijfsprocessen van 23andMe en heeft op geen enkele manier invloed op de klantervaring of klantgegevens. We zijn dankbaar voor de white hat-hackers die ons team hebben gewaarschuwd en anderen hebben uitgenodigd om deel te nemen aan ons onlangs opgerichte Bug Bounty-programma, ', voegde het bedrijf eraan toe.
Beveiliging
Fortinet, Shopify melden problemen nadat root-CA-certificaat van Lets Encrypt verloopt Ransomware-bendes klagen dat andere criminelen hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen als hackers wachtwoorden proberen te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Samenwerking Beveiliging TV-gegevens Beheer CXO-datacenters 