Sikkerhedsforskere hos JFrog arbejdede sammen med bioteknologisk virksomhed 23andMe for at løse en sårbarhed med Yamale, et værktøj skrevet af virksomheden og brugt af over 200 depoter.
CVE-2021-38305 giver angriberne mulighed for at omgå eksisterende beskyttelse og køre vilkårligt Python -kode ved at manipulere den skemafil, der leveres som input til Yamale, ifølge JFrogs sikkerhedsforskningsteam.
En talsmand for 23andMe fortalte ZDNet, at 23andMe Security blev underrettet om en løsning på en patch, der blev lavet til Yamale, open source-biblioteket oprettet af virksomheden for at kontrollere, at YAML-filer er i det rigtige format og har alle de korrekte felter.
I et blogindlæg og i interviews med ZDNet sagde JFrogs senior direktør for sikkerhedsforskning, Shachar Menashe, at sårbarheden er “ekstremt alvorlig, hvis forudsætningerne for angrebet eksisterer, fordi virkningen er størst (fjernudførelse af kode) og udnyttelse er triviel og stabil (kommandoindsprøjtning). ”
Bloggen fremhæver de tilfælde, hvor teamet mener, at sårbarheden ville være mest udnyttelig.
“JFrogs sikkerhedsundersøgelsesteam gennemfører i øjeblikket en scanning af hele PyPI -databasen for at forbedre landskabet for open source Python -kode. Ved automatisk at opdage sårbarheder og afsløre dem, er vores mål at hjælpe med at afbøde sårbarheder, der truer kundesystemer og national infrastruktur , “Sagde Menashe.
“Fundet blev opdaget ved hjælp af vores automatiserede sårbarhedsdetekteringsteknologi. Det er de samme typer kodescannere, der fandt de ondsindede PyPI -pakker, som vi afslørede i juli. Vi kører vores scannere på hele PyPI -databasen og udfører ansvarlige oplysninger om alle fundne sårbarheder , efter at vi har verificeret dem. Da Yamale er tilgængelig via PyPI, blev den scannet som en del af denne indsats. 23andMe skrev faktisk Yamale til brug som et internt værktøj. “
Yamale er en populær skemavaliderer for YAML, der bruges meget. En angriber, der kan kontrollere indholdet af den skemafil, der leveres til Yamale, kan levere en tilsyneladende gyldig skemafil, der får kørt vilkårlig Python -kode, forklarede Menashe.
Menashe bemærkede, at det underliggende problem er, at gennem Python -refleksion kan en angriber “klø tilbage” enhver nødvendig indbygget og køre vilkårlig kode.
I blogindlægget sagde JFrog -forskere, at en angriber skal være i stand til at angive indholdet af skemafilen for at injicere Python -kode, men bemærkede, at dette kan udnyttes eksternt, hvis et stykke sælgerkode tillader en hacker at gøre det.
Den mest sandsynlige udnyttelse, sagde sikkerhedsselskabet, ville indebære sårbarheder, der udløses via kommandolinjeparametre via et separat parameterinjektionsproblem.
JFrog Security CTO Asaf Karas tilføjede, at fordi YAML er så populær, kompatibel og meget udbredt, er det ofte målet for angreb.
“Dette hul gør det muligt for angribere, der kan levere en inputskemafil, at udføre Python -kodeindsprøjtning, der fører til kodeudførelse med privilegierne fra Yamale -processen. Vi anbefaler at desinficere ethvert input, der går til eval () i vid udstrækning og – helst – erstatte eval () opkald med mere specifikke API'er påkrævet til din opgave, “sagde Karas.
Firmaet roste Yamales vedligeholdere for at validere og løse problemet” på rekordtid “og for” ansvarligt at oprette en CVE for problemet efter den faste version var tilgængelig. “
Talsmanden for 23andMe sagde, at den originale patch var beregnet til at dække en sårbarhed for brugere, der analyserede ikke -betroet YAML -skema.
“YAML -filer er forblevet upåvirkede og er analyseret med en sikker læsser. 23andMe arbejder aktivt på en løsning. I mellemtiden tilføjer vi en note om projektets readme, der mere eksplicit siger, at YAML -skemaer altid skal komme fra en betroet kilde, “sagde talsmanden.
“Dette værktøj er ikke implementeret i nogen 23andMe -virksomhedsprocesser og påvirker ikke kundeoplevelsen eller kundedata på nogen måde. Vi er taknemmelige for de hvide hat -hackere, der advarede vores team og inviterede andre til at deltage i vores nyligt etablerede Bug Bounty -program, “tilføjede virksomheden.
Sikkerhed
Fortinet, Shopify rapporterer problemer efter rod -CA -certifikat fra Lets Encrypt udløber Ransomware -bander klager over, at andre skurke stjæler deres løsesum Båndbredde -CEO bekræfter afbrydelser forårsaget af DDoS -angreb Disse systemer står over for milliarder af angreb hver måned, da hackere forsøger at gætte adgangskoder Sådan får du et bedst betalende job inden for cybersikkerhed Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
Samarbejde Sikkerhed TV-data Management CXO-datacentre 