Para ahli menemukan RCE kritis di Backstage Spotify

idNSA.id - Peneliti dari firma keamanan Oxeye menemukan RCE (Remote Code Execution) kritis di Backstage Spotify (Skor CVSS 9,8). Backstage adalah platform open-source Spotify untuk membangun portal developer, digunakan oleh beberapa organisasi, termasuk American Airlines, Netflix, Splunk, Fidelity Investments, dan Epic Games.

Masalah ini dapat dieksploitasi dengan memicu kerentanan pelarian VM sandbox yang baru-baru ini diungkapkan (CVE-2022-36067 alias Sandbreak) di library pihak ketiga vm2.

Peneliti Oxeye melaporkan kerentanan RCE ini melalui program hadiah bug Spotify, dan tim development Backstage dengan cepat memperbaikinya dengan merilis versi 1.5.1.

“Pelaku ancaman yang tidak diautentikasi dapat mengeksekusi perintah sistem arbitrer pada aplikasi Backstage dengan mengeksploitasi vm2 sandbox escape di plugin inti Scaffolder.” membaca nasehat yang diterbitkan oleh Oxeye.

Kerentanan berada di tool template perangkat lunak yang memungkinkan developer membuat komponen di Backstage.

Para peneliti menjelaskan bahwa mesin template memanfaatkan library vm2 untuk mencegah eksekusi kode yang tidak dipercaya.

“Dalam meninjau cara membatasi risiko ini, kami melihat bahwa mesin template dapat dimanipulasi untuk menjalankan perintah shell dengan menggunakan template yang dikontrol pengguna dengan Nunjucks di luar lingkungan yang terisolasi. Akibatnya, Backstage mulai menggunakan pustaka sandbox JavaScript vm2 untuk mengurangi risiko ini.” melanjutkan penyuluhan. “Dalam makalah penelitian sebelumnya, Oxeye menemukan kerentanan pelarian sandbox vm2 yang menghasilkan eksekusi kode jarak jauh (RCE) pada mesin hosting.”

Para peneliti menjalankan kueri sederhana untuk hash favicon Backstage di Shodan dan menemukan lebih dari 500 instance Backstage yang terekspos ke internet.

Para ahli memperhatikan bahwa Backstage digunakan secara default tanpa mekanisme otentikasi atau mekanisme otorisasi, yang memungkinkan akses tamu. Beberapa instance Backstage yang diekspos secara publik tidak memerlukan autentikasi apapun.

Tes lebih lanjut memungkinkan para ahli untuk menentukan bahwa kerentanan dapat dieksploitasi tanpa otentikasi pada banyak contoh.

“Akar dari setiap pelarian VM berbasis template adalah mendapatkan hak eksekusi JavaScript di dalam template. Dengan menggunakan mesin template “logic-less” seperti Mustache, Anda dapat menghindari pengenalan kerentanan injeksi template sisi server. Memisahkan logika dari presentasi sebanyak mungkin dapat sangat mengurangi paparan Anda terhadap serangan berbasis template yang paling berbahaya.” kesimpulan laporan. “Untuk informasi lebih lanjut tentang mengurangi kerentanan berbasis template, lihat  nasihat teknis PortSwigger. Dan jika Anda menggunakan Backstage dengan autentikasi, aktifkan untuk front dan backend.”