在后台,Spotify 用于构建开发人员门户的开放平台项目存在一个严重程度很高的漏洞,该漏洞允许潜在的威胁参与者远程执行项目中未经身份验证的代码。该漏洞由云原生应用程序安全提供商 Oxeye 发现,随后由Spotify修补。
敦促用户将 Backstage 更新到 1.5.1 版本,该版本修复了该问题。
Oxeye 的研究人员在解释他们是如何发现该漏洞时表示,他们通过 vm2 中的第三方库利用了 VM 沙箱逃逸,从而能够进行未经身份验证的远程代码执行。
基于模板的攻击
Oxeye 软件架构师 Yuval Ostrovsky 表示:“通过利用默认使用的 Scaffolder 核心插件中的 vm2 沙箱逃逸,未经身份验证的威胁参与者能够在 Backstage 应用程序上执行任意系统命令。” “像这样的关键云原生应用程序漏洞正变得越来越普遍,立即解决这些问题至关重要。”
“在这种情况下引起我们注意的是后台软件模板和基于模板的攻击的可能性,”Oxeye 研究主管 Daniel Abeles 说。“在审查如何限制这种风险时,我们注意到模板引擎可以被操纵通过在隔离环境之外使用用户控制的模板和 Nunjucks 来运行 shell 命令。”
Backstage 的目标是通过统一所有基础设施工具、服务和文档来简化开发环境。据 Oxeye 称,它在 GitHub 上拥有超过 19,000 颗星,使其成为构建开发者门户的最受欢迎的开源平台之一。Spotify、美国航空公司、Netflix、Splunk、Fidelity Investments、Epic Games 和 Palo Alto Networks 只是部分使用 Backstage 的公司。
研究人员进一步解释了问题和可能的补救措施,表示基于模板的 VM 逃逸的根能够在模板内获得 JavaScript 执行权。据解释,诸如 Mustache 之类的无逻辑模板引擎可防止引入服务器端模板注入,从而消除该问题。
“如果在应用程序中使用模板引擎,请确保选择与安全相关的正确引擎。强大的模板引擎非常有用,但可能会给组织带来风险,”Oxeye 高级安全研究员 Gal Goldshtein 说。“如果使用Backstage,我们强烈建议尽快更新到最新版本以防御该漏洞。”
领取专属 10元无门槛券
私享最新 技术干货