Sikkerhetsforskere ved JFrog jobbet med bioteknologiselskapet 23andMe for å løse en sårbarhet med Yamale, et verktøy skrevet av selskapet og brukt av over 200 depoter.
CVE-2021-38305 lar angriperne omgå eksisterende beskyttelse og kjøre vilkårlig Python -kode ved å manipulere skjemafilen som ble levert som input til Yamale, ifølge JFrogs sikkerhetsteam.
En talsperson for 23andMe fortalte ZDNet at 23andMe Security ble varslet om en løsning på en oppdatering laget til Yamale, det åpne kildebiblioteket som ble opprettet av selskapet for å bekrefte at YAML-filer er i riktig format og har alle de riktige feltene.
I et blogginnlegg og i intervjuer med ZDNet sa JFrogs senior direktør for sikkerhetsforskning Shachar Menashe at sårbarheten er “ekstremt alvorlig hvis forutsetningene for angrepet eksisterer, på grunn av at virkningen er den høyeste (ekstern kjøring av kode) og utnyttelse er triviell og stabil (kommandoinnsprøytning). ”
Bloggen belyser tilfellene der teamet mener sårbarheten vil være mest utnyttbar.
“JFrogs sikkerhetsforskningsteam gjennomfører for tiden en skanning av hele PyPI -databasen for å forbedre landskapet i åpen kildekode Python -kode. Ved å automatisk oppdage sårbarheter og avsløre dem, er målet vårt å bidra til å redusere sårbarheter som truer kundesystemer og nasjonal infrastruktur. , “Sa Menashe.
“Funnet ble oppdaget ved hjelp av vår automatiserte sårbarhetsdeteksjonsteknologi. Dette er de samme kodeskannerne som fant de ondsinnede PyPI -pakkene som vi avslørte i juli. Vi kjører skannerne våre på hele PyPI -databasen og utfører ansvarlige avsløringer om alle funnet sårbarheter , etter at vi har bekreftet dem. Siden Yamale er tilgjengelig via PyPI, ble den skannet som en del av denne innsatsen. 23andMe skrev faktisk Yamale for bruk som et internt verktøy. “
Yamale er en populær skjemavaliderer for YAML som er mye brukt. En angriper som kan kontrollere innholdet i skjemafilen som leveres til Yamale, kan gi en tilsynelatende gyldig skjemafil som vil føre til at vilkårlig Python -kode kjøres, forklarte Menashe.
Menashe bemerket at det underliggende problemet er at gjennom Python -refleksjon kan en angriper “klo tilbake” all nødvendig innebygd og kjøre vilkårlig kode.
I blogginnlegget sa JFrog -forskere at en angriper må kunne spesifisere innholdet i skjemafilen for å injisere Python -kode, men bemerket at dette kan utnyttes eksternt hvis en del leverandørkode lar en angriper gjøre det.
Den mest sannsynlige utnyttelsen, sa sikkerhetsselskapet, vil innebære sårbarheter som utløses gjennom kommandolinjeparametere via et eget parameterinjeksjonsproblem.
JFrog Security CTO Asaf Karas la til at fordi YAML er så populært, kompatibelt og mye brukt, er det ofte målet for angrep.
“Dette gapet tillater angripere som kan gi en inndataskjemfil å utføre Python -kodeinjeksjon som fører til kodekjøring med privilegiene til Yamale -prosessen. Vi anbefaler å desinfisere alle innganger som går til eval () omfattende og – helst – erstatte eval () -anrop med mer spesifikke API -er som kreves for oppgaven din, “sa Karas.
Selskapet berømmet Yamales vedlikeholdere for å validere og fikse problemet” på rekordtid “og for” ansvarlig å lage en CVE for problemet etter den faste versjonen var tilgjengelig. “
23andMe -talsmannen sa at den originale oppdateringen var ment å dekke et sårbarhet for brukere som analyserte ikke -klarert YAML -skjema.
“YAML -filer har forblitt upåvirket og er analysert med en sikker laster. 23andMe jobber aktivt med en løsning. I mellomtiden vil vi legge til et notat om prosjektet readme som mer eksplisitt sier at YAML -skjemaer alltid skal komme fra en pålitelig kilde, “sa talspersonen.
“Dette verktøyet er ikke implementert i noen 23andMe -selskapsprosesser og påvirker ikke kundeopplevelsen eller kundedataene på noen måte. Vi er takknemlige for hackere som har varslet teamet vårt og inviterer andre til å bli med i vårt nylig etablerte Bug Bounty -program, “la selskapet til.
Sikkerhet
Fortinet, Shopify rapporterer problemer etter at rot -CA -sertifikatet fra Lets Encrypt utløper Ransomware -gjengene klager over at andre skurker stjeler løsepengene sine Bandwidth CEO bekrefter avbrudd forårsaket av DDoS -angrep Disse systemer møter milliarder av angrep hver måned mens hackere prøver å gjette passord Hvordan få en best betalende jobb innen cybersikkerhet Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, regjeringen
Relaterte emner:
Samarbeidssikkerhet TV-data Administrasjons CXO datasentre 