Hacktivist-aktivitet driver DDoS-volymer till

Detrás de escena, el proyecto de plataforma abierta de Spotify para construir portales de desarrolladores tenía una vulnerabilidad de alta gravedad que permitía a los posibles actores de amenazas ejecutar de forma remota código no autenticado en el proyecto. La falla fue descubierta por los proveedores de seguridad de aplicaciones nativas de la nube, Oxeye, y luego fue reparada por Spotify.

Se recomienda a los usuarios que actualicen Backstage a la versión 1.5.1, que resuelve el problema.

Al explicar cómo descubrieron la vulnerabilidad, los investigadores de Oxeye dijeron que explotaron una evasión de sandbox de VM a través de la biblioteca vm2 de terceros, lo que les permitió ejecutar código remoto no autenticado.

Ataques basados ​​en patrones

“Al explotar una evasión de sandbox vm2 en el complemento principal de Scaffolder, que se usa de forma predeterminada, los piratas informáticos no autenticados tienen la capacidad de ejecutar comandos arbitrarios del sistema en una aplicación Backstage”, dijo Yuval Ostrovsky, arquitecto de software de Oxeye. «Las vulnerabilidades críticas de las aplicaciones nativas de la nube como esta son cada vez más frecuentes y es fundamental que estos problemas se aborden sin demora».

«Lo que llamó nuestra atención en este caso fueron los patrones de software Backstage y el potencial de ataques basados ​​en patrones», dijo Daniel Abeles, jefe de investigación de Oxeye. “Mientras buscamos cómo mitigar este riesgo, notamos que el motor de plantillas podría manipularse para ejecutar comandos de shell utilizando plantillas controladas por el usuario con Nunjucks fuera de un entorno aislado.

El objetivo de Backstage es optimizar el entorno de desarrollo mediante la unificación de todas las herramientas, servicios y documentación de la infraestructura. Según Oxeye, tiene más de 19 000 estrellas en GitHub, lo que la convierte en una de las plataformas de código abierto más populares para crear portales para desarrolladores. Spotify, American Airlines, Netflix, Splunk, Fidelity Investments, Epic Games y Palo Alto Networks son solo algunas de las empresas que utilizan Backstage.

Al explicar el problema y las posibles soluciones con más detalle, los investigadores dijeron que la raíz de un escape de máquina virtual basado en plantilla pudo obtener derechos de ejecución de JavaScript en la plantilla. Se explicó que los motores de plantillas sin lógica como Mustache evitan la introducción de la inyección de plantillas del lado del servidor, lo que elimina el problema.

“Si está utilizando un motor de plantillas en una aplicación, asegúrese de elegir el correcto en términos de seguridad. Los motores de plantillas robustos son extremadamente útiles, pero pueden representar un riesgo para la organización”, dijo Gal Goldshtein, investigadora sénior de seguridad en Oxeye. «Si usa Backstage, le recomendamos encarecidamente que lo actualice a la última versión para defenderse de esta vulnerabilidad lo antes posible».

Dela detta