Startup z Berlína odhalila chybu zabezpečenia vzdialeného spustenia kódu (RCE) a chyba skriptu medzi servermi (XSS) v Plingu, ktorý sa používa v rôznych katalógoch aplikácií postavených na tejto platforme a ktorý umožňuje vykonávanie kódu JavaScript v kontexte iných používateľov. Dotknuté stránky sú jednými z hlavných katalógov bezplatných softvérových aplikácií ako napríklad store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com.
Spoločnosť Positive Security, ktorá našla medzery, uviedla, že chyby sú stále v kóde Pling a jeho správcovia nereagovali na správy o zraniteľnosti.
Začiatkom tohto roka sme sa pozreli na to, ako populárne aplikácie pre stolné počítače narábajú s používateľmi dodanými identifikátormi URI a v niekoľkých z nich sme našli chyby zabezpečenia. Jednou z aplikácií, ktoré som skontroloval, bol KDE Discover App Store, ktorý sa ukázal ako nedôveryhodný URI spracovaný nezabezpečeným spôsobom (CVE-2021-28117, KDE Security Advisory).
Počas toho som rýchlo našiel niekoľko vážnejších zraniteľností na iných trhoch so slobodným softvérom.
Červený XSS s potenciálom útokov dodávateľského reťazca na trhoch založených na Pling a príležitostná RCE ovplyvňujúca používateľov aplikácie PlingStore môžu byť stále využívaní.
Pling sa predstavuje ako trh kreatívcov na nahrávanie tém a grafiky Desktop pre Linux, okrem iného v nádeji, že získa nejaký zisk z priaznivcov. Skladá sa z dvoch častí: kód potrebný na spustenie vlastného blingového bazáru a aplikácie založenej na elektronoch, ktorú si môžu používatelia nainštalovať na správu svojich tém z Pling souk. Webový kód má XSS a klient má XSS a RCE. Pling prevádzkuje niekoľko webov, od pling.com a store.kde.org po gnome-look.org a xfce-look.org.
Podstata problému je to platforma Pling umožňuje pridávanie multimediálnych blokov vo formáte HTML, napríklad vložiť video alebo obrázok z YouTube. Kód pridaný prostredníctvom formulára nie je overený správne, čo umožňuje vám pridať nebezpečný kód pod rúškom obrázku a do adresára vložte informácie, ktoré vykoná kód JavaScript pri prezeraní. Ak sa informácie otvoria používateľom, ktorí majú účet, je možné v mene tohto používateľa iniciovať akcie v adresári, vrátane pridania volania JavaScriptu na ich stránky a implementácie určitého druhu sieťového červa.
Tiež, v aplikácii PlingStore bola zistená zraniteľnosť, napísané pomocou platformy Electron a umožňujúce navigáciu v adresároch OpenDesktop bez prehľadávača a inštaláciu tam uvedených balíkov. Zraniteľnosť v obchode PlingStore umožňuje spustenie jeho kódu v systéme používateľa.
Keď je spustená aplikácia PlingStore, dodatočne sa spustí proces ocs-manager, prijímanie miestnych pripojení cez WebSocket a vykonávanie príkazov ako načítanie a spustenie aplikácií vo formáte AppImage. Príkazy majú byť prenášané aplikáciou PlingStore, ale v skutočnosti môže byť kvôli chýbajúcej autentifikácii odoslaná požiadavka na ocs-manager z prehliadača používateľa. Ak používateľ otvorí škodlivú stránku, môže nadviazať spojenie s správcom ocs a nechať spustiť kód v systéme používateľa.
Zraniteľnosť XSS sa uvádza aj v adresári extensions.gnome.org; V poli s adresou URL domovskej stránky doplnku môžete určiť kód JavaScript vo formáte „javascript: code“ a po kliknutí na odkaz sa namiesto otvorenia stránky projektu spustí zadaný JavaScript.
Na jednej strane, problém je špekulatívnejší, pretože umiestnenie v adresári extensions.gnome.org sa moderuje a útok si vyžaduje nielen otvorenie určitej stránky, ale aj výslovné kliknutie na odkaz. Na druhej strane, počas overovania môže moderátor chcieť prejsť na web projektu, ignorovať formulár odkazu a spustiť kód JavaScript v rámci svojho účtu.
Nakoniec, ak máte záujem dozvedieť sa o tom viac, môžete sa poradiť podrobnosti v nasledujúcom odkaze.