สตาร์ทอัพจากเบอร์ลิน ได้เปิดเผยช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) และข้อบกพร่องของสคริปต์ข้ามไซต์ (XSS) ในปลิง ซึ่งใช้ในแคตตาล็อกแอปพลิเคชันต่างๆ ที่สร้างขึ้นบนแพลตฟอร์มนี้ และอาจอนุญาตให้โค้ด JavaScript ถูกเรียกใช้ในบริบทของผู้ใช้รายอื่น ไซต์ที่ได้รับผลกระทบคือแค็ตตาล็อกแอปพลิเคชันซอฟต์แวร์ฟรีหลักบางส่วน เช่น store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com เป็นต้น
Positive Security ซึ่งพบช่องโหว่กล่าวว่าข้อบกพร่องยังคงมีอยู่ในรหัส Pling และผู้ดูแลไม่ตอบสนองต่อรายงานช่องโหว่
เมื่อต้นปีนี้ เราได้พิจารณาว่าแอปเดสก์ท็อปยอดนิยมจัดการกับ URI ที่ผู้ใช้จัดหาได้อย่างไร และพบช่องโหว่ในการเรียกใช้โค้ดในหลายรายการ หนึ่งในแอพที่ฉันตรวจสอบคือ KDE Discover App Store ซึ่งกลายเป็นว่าจัดการ URI ที่ไม่น่าเชื่อถือด้วยวิธีที่ไม่ปลอดภัย (CVE-2021-28117, KDE Security Advisory)
ระหว่างทาง ฉันพบช่องโหว่ที่ร้ายแรงอีกหลายแห่งในตลาดซอฟต์แวร์เสรีอื่นๆ อย่างรวดเร็ว
XSS แบบเวิร์มซึ่งมีศักยภาพในการโจมตีห่วงโซ่อุปทานในตลาดที่ใช้ Pling และ RCE แบบขับเคลื่อนโดยไดรฟ์ที่ส่งผลต่อผู้ใช้แอปพลิเคชัน PlingStore ยังคงสามารถใช้ประโยชน์ได้
Pling นำเสนอตัวเองเป็นตลาดสำหรับครีเอทีฟในการอัปโหลดธีมและกราฟิก เดสก์ท็อป Linux หวังว่าจะได้รับผลกำไรจากผู้สนับสนุน มันมาในสองส่วน: รหัสที่จำเป็นในการเรียกใช้ bling bazaar ของตนเองและแอปพลิเคชันที่ใช้ Electron ซึ่งผู้ใช้สามารถติดตั้งเพื่อจัดการธีมของพวกเขาจาก Pling souk โค้ดของเว็บมี XSS และไคลเอ็นต์มี XSS และ RCE Pling ให้อำนาจแก่ไซต์ต่างๆ ตั้งแต่ pling.com และ store.kde.org ไปจนถึง gnome-look.org และ xfce-look.org
สาระสำคัญของปัญหา คือแพลตฟอร์ม Pling อนุญาตให้เพิ่มบล็อกมัลติมีเดียในรูปแบบ HTML เช่น การแทรกวิดีโอหรือรูปภาพ YouTube รหัสที่เพิ่มผ่านแบบฟอร์มไม่ผ่านการตรวจสอบ ถูกต้อง อะไร อนุญาตให้คุณเพิ่มโค้ดที่เป็นอันตรายภายใต้หน้ากากของภาพ และใส่ข้อมูลในไดเร็กทอรีที่โค้ด JavaScript จะดำเนินการเมื่อดู หากข้อมูลถูกเปิดให้กับผู้ใช้ที่มีบัญชีอยู่แล้ว ก็เป็นไปได้ที่จะเริ่มดำเนินการในไดเร็กทอรีในนามของผู้ใช้รายนี้ ซึ่งรวมถึงการเพิ่มการเรียก JavaScript ไปยังหน้าเว็บของพวกเขา การใช้เวิร์มเครือข่าย
ด้วยตรวจพบช่องโหว่ในแอปพลิเคชัน PlingStore เขียนโดยใช้แพลตฟอร์ม Electron และให้คุณนำทางผ่านไดเร็กทอรี OpenDesktop โดยไม่ต้องใช้เบราว์เซอร์ และติดตั้งแพ็คเกจที่แสดงที่นั่น ช่องโหว่ใน PlingStore ทำให้โค้ดทำงานบนระบบของผู้ใช้ได้
เมื่อแอปพลิเคชัน PlingStore ทำงาน กระบวนการ ocs-manager จะถูกเริ่มต้นเพิ่มเติม ยอมรับการเชื่อมต่อในพื้นที่ผ่าน WebSocket และดำเนินการคำสั่งต่างๆ เช่น การโหลดและเปิดแอปพลิเคชันในรูปแบบ AppImage. คำสั่งควรจะส่งโดยแอพพลิเคชั่น PlingStore แต่อันที่จริง เนื่องจากขาดการพิสูจน์ตัวตน จึงสามารถส่งคำขอไปยัง ocs-manager จากเบราว์เซอร์ของผู้ใช้ได้ หากผู้ใช้เปิดไซต์ที่เป็นอันตราย พวกเขาสามารถเริ่มต้นการเชื่อมต่อกับ ocs-manager และให้โค้ดทำงานบนระบบของผู้ใช้ได้
มีการรายงานช่องโหว่ XSS ในไดเร็กทอรี extensions.gnome.org ในฟิลด์ที่มี URL ของโฮมเพจปลั๊กอิน คุณสามารถระบุโค้ด JavaScript ในรูปแบบ "javascript: code" และเมื่อคุณคลิกลิงก์ JavaScript ที่ระบุจะถูกเปิดใช้แทนการเปิดไซต์โครงการ
บนมือข้างหนึ่ง, ปัญหาคือการเก็งกำไรมากขึ้นเนื่องจากตำแหน่งในไดเร็กทอรี extensions.gnome.org กำลังถูกตรวจสอบ และการโจมตีไม่เพียงแต่ต้องเปิดหน้าเว็บบางหน้าเท่านั้น แต่ยังต้องคลิกลิงก์อย่างชัดเจนด้วย ในทางกลับกัน ในระหว่างการตรวจสอบ ผู้ดูแลอาจต้องการไปที่ไซต์โครงการ ละเว้นแบบฟอร์มลิงก์ และเรียกใช้โค้ด JavaScript ในบริบทของบัญชีของตน
สุดท้ายหากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมคุณสามารถปรึกษาได้ รายละเอียดตามลิงค์ต่อไปนี้