Startuolis iš Berlyno atskleidė nuotolinio kodo vykdymo pažeidžiamumą (RCE) ir kelių svetainių scenarijaus (XSS) trūkumas Pling, kuri naudojama įvairiuose šioje platformoje sukurtuose programų kataloguose ir kuri galėtų leisti „JavaScript“ kodą vykdyti kitų vartotojų kontekste. Paveiktos svetainės yra keletas pagrindinių nemokamos programinės įrangos programų katalogų pvz., store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com ir kt.
„Positive Security“, radusi skyles, teigė, kad klaidos vis dar yra „Pling“ kode ir kad jo prižiūrėtojai neatsakė į pranešimus apie pažeidžiamumą.
Šių metų pradžioje mes apžvelgėme, kaip populiarios darbalaukio programos tvarko vartotojo pateiktus URI, ir keliose jų aptikome kodo vykdymo pažeidžiamumų. Viena iš mano patikrintų programų buvo „KDE Discover App Store“, kuri pasirodė nesaugiai tvarkanti nepatikimus URI (CVE-2021-28117, KDE saugos patarimas).
Kelyje greitai radau keletą rimtesnių pažeidžiamumų kitose laisvos programinės įrangos rinkose.
Vis tiek galima išnaudoti kirminą sukeltą XSS, kuris gali sukelti tiekimo grandinės atakas Pling pagrįstose rinkose, ir RCE, veikiančią „PlingStore“ programos vartotojus.
„Pling“ pristato save kaip kūrybinių skelbimų rinką, kur galima įkelti temas ir grafiką „Linux“ darbalaukis, be kita ko, tikėdamasis gauti šiek tiek pelno iš rėmėjų. Jis yra dviejų dalių: kodas, reikalingas paleisti savo „bling“ turgų ir „Electron“ pagrindu veikiančią programą, kurią vartotojai gali įdiegti tvarkydami savo temas iš „Pling Souk“. Žiniatinklio kodas turi XSS, o klientas - XSS ir RCE. „Pling“ valdo kelias svetaines, pradedant pling.com ir store.kde.org, baigiant gnome-look.org ir xfce-look.org.
Problemos esmė yra ta platforma „Pling“ leidžia pridėti daugialypės terpės blokus HTML formatu, pavyzdžiui, norėdami įterpti „YouTube“ vaizdo įrašą ar vaizdą. Per formą pridėtas kodas nėra patvirtintas teisingai, kas leidžia pridėjus paveikslėlį pridėti kenkėjišką kodą ir įdėkite informaciją į katalogą, kurią „JavaScript“ kodas vykdys žiūrėdamas. Jei informacija bus atidaryta vartotojams, turintiems paskyrą, tuomet šio vartotojo vardu kataloge galima inicijuoti veiksmus, įskaitant „JavaScript“ skambučio įtraukimą į jų puslapius, tam tikro tinklo kirmino įdiegimą.
Taip pat, „PlingStore“ programoje nustatytas pažeidžiamumas, parašyta naudojant „Electron“ platformą ir leidžianti naršyti po „OpenDesktop“ katalogus be naršyklės ir įdiegti ten pateiktus paketus. „PlingStore“ pažeidžiamumas leidžia jo kodą paleisti vartotojo sistemoje.
Kai veikia „PlingStore“ programa, papildomai pradedamas „ocs-manager“ procesas, priimti vietinius ryšius per „WebSocket“ ir paleisti komandas, tokias kaip programų įkėlimas ir paleidimas „AppImage“ formatu. Manoma, kad komandas perduoda „PlingStore“ programa, tačiau iš tikrųjų dėl autentifikavimo stokos užklausą „ocs-manager“ galima siųsti iš vartotojo naršyklės. Jei vartotojas atidaro kenkėjišką svetainę, jis gali užmegzti ryšį su „ocs-manager“ ir paleisti kodą vartotojo sistemoje.
Apie XSS pažeidžiamumą taip pat pranešama kataloge extensions.gnome.org; Laukelyje su įskiepio pagrindinio puslapio URL galite nurodyti „JavaScript“ kodą formatu „javascript: code“, o spustelėjus nuorodą, užuot atidarius projekto svetainę, bus paleista nurodyta „JavaScript“.
Viena vertus, problema labiau spekuliatyvi, nes vieta extensions.gnome.org kataloge yra prižiūrima ir atakai reikia ne tik atidaryti tam tikrą puslapį, bet ir aiškiai spustelėti nuorodą. Kita vertus, tikrinimo metu moderatorius gali norėti apsilankyti projekto svetainėje, nepaisyti nuorodos formos ir paleisti „JavaScript“ kodą savo paskyros kontekste.
Galiausiai, jei norite sužinoti daugiau apie tai, galite pasikonsultuoti išsami informacija šioje nuorodoje.