[Cảnh Báo] Phát hiện lỗ hổng bảo mật nghiêm trọng trong phần mềm tự động hóa StackStorm

Một nhà nghiên cứu bảo mật đã phát hiện ra lỗ hổng bảo mật nghiêm trọng trong StackStorm - nền tảng điều khiển tự động mã nguồn mở, có thể cho phép kẻ tấn công từ xa lừa các nhà phát triển vô tình thực thi các lệnh tùy ý trên các dịch vụ được nhắm mục tiêu.

[Cảnh Báo] Phát hiện lỗ hổng bảo mật nghiêm trọng trong phần mềm tự động hóa StackStorm - CyberSec365.org

Theo đó, StackStorm, còn được gọi là "IFTTT cho Ops", là một công cụ tự động hóa theo sự kiện mạnh mẽ được sử dụng để tích hợp và tự động hóa trên các dịch vụ và công cụ cho phép các nhà phát triển định cấu hình các hành động, quy trình công việc và các tác vụ theo lịch trình để thực hiện một số thao tác trên các máy chủ quy mô lớn.

Ví dụ: bạn có thể đặt hướng dẫn (nếu vậy, sau đó) trên nền tảng Stackstorm để tự động tải các tệp gói mạng lên dịch vụ phân tích mạng dựa trên đám mây, như CloudShark, trong các sự kiện khi phần mềm bảo mật của bạn phát hiện hoạt động xâm nhập hoặc độc hại trong mạng .

Do StackStorm thực thi các hành động có thể là bất cứ thứ gì, từ yêu cầu HTTP đến một lệnh tùy ý, trên các máy chủ hoặc dịch vụ từ xa mà các nhà phát triển tích hợp cho các tác vụ tự động, nền tảng này chạy với các đặc quyền khá cao.

[Cảnh Báo] Phát hiện lỗ hổng bảo mật nghiêm trọng trong phần mềm tự động hóa StackStorm - CyberSec365.org

Theo thông tin chi tiết Barak Tawily, một nhà nghiên cứu bảo mật ứng dụng tại AppSec Labs, đã chia sẻ với The Hacker News trước khi phát hành, lỗ hổng này do các API của StackStorm REST xử lý không đúng cách các tiêu đề CORS (cross-origin resource sharing), cuối cùng cho phép các trình duyệt web thực hiện các yêu cầu tên miền chéo thay mặt cho người dùng / nhà phát triển được xác thực với StackStorm Web UI.

[Cảnh Báo] Phát hiện lỗ hổng bảo mật nghiêm trọng trong phần mềm tự động hóa StackStorm - CyberSec365.org

"Specifically what the StackStorm API returned for Access-Control-Allow-Origin. Prior to [StackStorm] 2.10.3/2.9.3, if the origin of the request was unknown, we would return null," StackStorm said in a blog post about the vulnerability.
"As Mozilla's documentation will show, and client behavior will back up, null can result in a successful request from an unknown origin in some clients. Allowing the possibility of XSS style attacks against the StackStorm API."

 Để khai thác lỗ hổng này (có mã hiệu CVE-2019-9580), kẻ tấn công chỉ cần gửi một liên kết độc hại cho nạn nhân, cho phép nó "đọc / cập nhật / tạo hành động và quy trình công việc, nhận IP nội bộ và thực hiện lệnh trên mỗi máy có thể truy cập được bởi tác nhân StackStorm. "

Tawily đã chia sẻ một video bằng chứng về khái niệm với The Hacker News, chứng minh làm thế nào lỗ hổng trong StackStorm có thể cho phép kẻ tấn công chiếm lấy bất kỳ máy chủ nào có thể truy cập bởi tác nhân StackStorm.
Nhà nghiên cứu đã chia sẻ phát hiện của mình với nhóm StackStorm vào tuần trước, họ đã thừa nhận vấn đề này và ngay lập tức phát hành phiên bản StackStorm 2.9.3 và 2.10.3 để giải quyết lỗ hổng chỉ trong hai ngày.
Các nhóm DevOps rất khuyến khích cập nhật StackStorm.

Nguồn: The Hacker News