Säkerhetsforskare på JFrog arbetade med bioteknikföretaget 23andMe för att ta itu med en sårbarhet med Yamale, ett verktyg skrivet av företaget och som används av över 200 arkiv.
CVE-2021-38305 låter angripare kringgå befintliga skydd och köra godtyckligt Python -kod genom att manipulera schemafilen som tillhandahålls som input till Yamale, enligt JFrogs säkerhetsforskargrupp.
En talesman för 23andMe berättade för ZDNet att 23andMe Security meddelades om en lösning på en patch som gjorts till Yamale, biblioteket med öppen källkod som skapats av företaget för att verifiera att YAML-filer är i rätt format och har alla rätt fält.
I ett blogginlägg och i intervjuer med ZDNet sa JFrogs chef för säkerhetsforskning Shachar Menashe att sårbarheten är ”extremt allvarlig om förutsättningarna för attacken finns, på grund av att effekten är den högsta (fjärrkörning av kod) och exploatering är trivialt och stabilt (kommandoinjektion). ”
Bloggen belyser de fall där teamet tror att sårbarheten är mest exploaterbar.
“JFrogs säkerhetsforskargrupp gör för närvarande en genomsökning av hela PyPI -databasen för att förbättra landskapet med öppen källkod Python -kod. Genom att automatiskt upptäcka sårbarheter och avslöja dem är vårt mål att hjälpa till att minska sårbarheter som hotar kundsystem och nationell infrastruktur , “Sa Menashe.
“Fyndet upptäcktes med hjälp av vår automatiska teknik för att upptäcka sårbarheter. Det här är samma typer av kodskannrar som hittade de skadliga PyPI -paketen som vi avslöjade i juli. Vi kör våra skannrar på hela PyPI -databasen och utför ansvariga avslöjanden på alla hittade sårbarheter , efter att vi har verifierat dem. Eftersom Yamale är tillgängligt via PyPI skannades det som en del av detta försök. 23andMe skrev faktiskt Yamale för användning som ett internt verktyg. “
Yamale är en populär schemavaliderare för YAML som används i stor utsträckning. En angripare som kan styra innehållet i schemafilen som levereras till Yamale kan tillhandahålla en till synes giltig schemafil som kommer att leda till att godtycklig Python -kod körs, förklarade Menashe.
Menashe noterade att det bakomliggande problemet är att genom Python -reflektion kan en angripare “klämma tillbaka” alla nödvändiga inbyggda och köra godtycklig kod.
I blogginlägget sa JFrog -forskare att en angripare måste kunna specificera innehållet i schemafilen för att kunna injicera Python -kod, men noterade att detta kan utnyttjas på distans om någon del av leverantörskoden tillåter en angripare att göra det.
Det mest troliga utnyttjandet, sade säkerhetsföretaget, skulle innebära sårbarheter som utlöses via kommandoradsparametrar via en separat parameterinjektionsfråga.
JFrog Security CTO Asaf Karas tillade att eftersom YAML är så populärt, kompatibelt och allmänt använt är det ofta målet för attacker.
“Denna lucka gör det möjligt för angripare som kan tillhandahålla en inmatningsschemafil att utföra Python -kodinjektion som leder till kodkörning med Yamale -processens privilegier. Vi rekommenderar att alla ingångar som går till eval () omfattande och – helst – ersätter eval () samtal med mer specifika API: er som krävs för din uppgift “, sa Karas.
Företaget hyllade Yamales underhållare för att validera och åtgärda problemet” på rekordtid “och för att” ansvarsfullt skapa en CVE för problemet efter den fasta versionen var tillgänglig. “
23andMe -talesmannen sa att den ursprungliga korrigeringen var avsedd att täcka en sårbarhet för användare som analyserar otillförlitligt YAML -schema.
“YAML -filer har förblivit opåverkade och analyseras med en säker lastare. 23andMe arbetar aktivt med en lösning. Under tiden kommer vi att lägga till en anteckning om projektets readme som mer uttryckligen säger att YAML -scheman alltid ska komma från en betrodd källa, “sade talesmannen.
“Det här verktyget är inte implementerat i några 23andMe -företagsprocesser och påverkar inte kundupplevelsen eller kunddata på något sätt. Vi är tacksamma för hackarna som varnade vårt team och inbjuder andra att gå med i vårt nyligen etablerade Bug Bounty -program, “tillade företaget.
Säkerhet
Fortinet, Shopify rapporterar problem efter root -CA -certifikat från Lets Encrypt går ut Ransomware -gäng klagar på att andra skurkar stjäl sina lösenband Bandwidth CEO bekräftar avbrott orsakade av DDoS -attack Dessa system möter miljarder attacker varje månad när hackare försöker gissa lösenord Hur man får ett högst betalande jobb inom cybersäkerhet Cybersecurity 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
Samarbete Säkerhet TV-data Management CXO-datacenter 