סטארטאפ מברלין חשף פגיעות של ביצוע קוד מרחוק (RCE) ופגם בסקריפט חוצה אתרים (XSS) בפלינג, המשמש בקטלוגים שונים של יישומים הבנויים על פלטפורמה זו ואשר יכולים לאפשר ביצוע קוד JavaScript בהקשר של משתמשים אחרים. האתרים המושפעים הם מהקטלוגים העיקריים של יישומי תוכנה בחינם כגון store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com בין היתר.
באבטחה חיובית, שמצאה את החורים, נמסר כי החרקים עדיין קיימים בקוד ה- Pling וכי מתחזריה לא הגיבו לדיווחי הפגיעות.
מוקדם יותר השנה בדקנו כיצד אפליקציות שולחן עבודה פופולריות מטפלות ב- URI המסופקות על ידי משתמשים ומצאנו נקודות תורפה בביצוע קוד. אחת האפליקציות שבדקתי הייתה חנות האפליקציות KDE Discover, שהתברר כי היא מטפלת ב- URI לא מהימנים בצורה לא בטוחה (CVE-2021-28117, KDE Advisory).
בדרך מצאתי במהירות כמה נקודות תורפה חמורות יותר בשווקי תוכנה חופשיים אחרים.
ניתן עדיין לנצל XSS תולעי עם פוטנציאל להתקפות שרשרת אספקה בשווקים מבוססי Pling ו- RCE הכונן המשפיע על משתמשי יישומי PlingStore.
Pling מציג את עצמו כשוק ליצירתיות להעלאת נושאים וגרפיקה שולחן העבודה של לינוקס, בין השאר, בתקווה להשיג קצת רווח מהתומכים. זה מגיע בשני חלקים: הקוד הדרוש להפעלת בזאר בלינג משלהם ויישום מבוסס אלקטרונים שמשתמשים יכולים להתקין כדי לנהל את ערכות הנושא שלהם מתוך סוכת מלינג. בקוד האינטרנט יש את ה- XSS וללקוח יש את ה- XSS ו- RCE. Pling מפעילה מספר אתרים, החל מ- pling.com ו- store.kde.org ועד gnome-look.org ו- xfce-look.org.
מהות הבעיה זו הפלטפורמה Pling מאפשר להוסיף בלוקים מולטימדיה בפורמט HTML, למשל, להכניס סרטון או תמונה של YouTube. הקוד שנוסף דרך הטופס אינו מאומת נכון, מה מאפשר להוסיף קוד זדוני במסווה של תמונה והכניסו מידע לספריה שקוד ה- JavaScript יבצע בעת הצפייה. אם המידע ייפתח למשתמשים שיש להם חשבון, אז אפשר לבצע פעולות בספריה מטעם משתמש זה, כולל הוספת קריאת JavaScript לדפים שלהם, והטמעה של מעין תולעת רשת.
בנוסף, זוהתה פגיעות ביישום PlingStore, נכתב באמצעות פלטפורמת Electron ומאפשר לך לנווט בספריות OpenDesktop ללא דפדפן ולהתקין את החבילות המוצגות שם. פגיעות ב- PlingStore מאפשרת להפעיל את הקוד שלה במערכת המשתמש.
כאשר יישום PlingStore פועל, בנוסף מתחיל תהליך ocs-manager, קבלת חיבורים מקומיים דרך WebSocket וביצוע פקודות כמו טעינה והפעלת יישומים בפורמט AppImage. הפקודות אמורות להיות משודרות על ידי אפליקציית PlingStore, אך למעשה, בגלל היעדר אימות, ניתן לשלוח בקשה ל- ocs-manager מהדפדפן של המשתמש. אם משתמש פותח אתר זדוני, הוא יכול ליצור קשר עם ocs-manager ולהפעיל את הקוד במערכת המשתמש.
פגיעות של XSS מדווחת גם בספרייה extensions.gnome.org; בשדה עם כתובת ה- URL של עמוד הבית של התוסף, תוכלו לציין קוד JavaScript בפורמט "javascript: code" וכאשר תלחצו על הקישור, ה- JavaScript שצוין יושק במקום לפתוח את אתר הפרויקט.
מצד אחד, הבעיה היא ספקולטיבית יותר, מכיוון שהמיקום בספריה extensions.gnome.org מתווך וההתקפה דורשת לא רק פתיחת דף מסוים, אלא גם לחיצה מפורשת על הקישור. מצד שני, במהלך האימות, המנחה עשוי לרצות לעבור לאתר הפרויקט, להתעלם מטופס הקישור ולהפעיל את קוד ה- JavaScript בהקשר לחשבון שלהם.
לבסוף, אם אתה מעוניין לדעת יותר על כך, תוכל להתייעץ את הפרטים בקישור הבא.