Vulnerabilidad crítica de RCE fue detectada en el catálogo de software Backstage y la plataforma de desarrolladores de Spotify

Backstage de Spotify fue descubierto como vulnerable, debido a una grave vulnerabilidad de seguridad que podría explotarse para obtener la ejecución remota de código al aprovechar un error recientemente revelado en un módulo de terceros.

La vulnerabilidad (puntaje CVSS: 9.8), en esencia, aprovecha un escape crítico de sandbox en vm2, una popular biblioteca de sandbox de JavaScript (CVE-2022-36067), conocida también como Sandbreak, que salio a la luz el mes pasado.

«Un actor de amenazas no autenticado puede ejecutar comandos de sistema arbitrarios en una aplicación Backstage al explotar un escape de sandbox vm2 en el complemento principal de Scaffolder», dijo la compañía de seguridad de aplicaciones Oxeye.

Backstage es un portal para desarrolladores de código abierto de Spotify, que permite a los usuarios crear, administrar y explorar componentes de software desde una «puerta principal» unificada. Lo usan actualmente muchas empresas como Netflix, DoorDash, Roku, Expedia, entre otras.

Según Oxeye, la vulnerabilidad tiene sus raíces en una herramienta llamada plantillas de software, que se puede usar para crear componentes dentro de Backstage.

Aunque el motor de plantilla utiliza vm2 para mitigar el riesgo asociado con la ejecución de código que no es de confianza, la vulnerabilidad de escape de sandbox hizo posible ejecutar comandos arbitrarios del sistema fuera del perímetro de seguridad.

Oxeye dijo que pudo identificar más de 500 instancias de Backstage expuestas públicamente en Internet, que después podrían ser armadas de forma remota por un atacante sin necesidad de autorización.

Después de la divulgación responsable el 18 de agosto, los mantenedores del proyecto abordaron el problema en la versión 1.5.1 lanzada el 29 de agosto de 2022.

«La raíz de cualquier escape de VM basado en plantillas es obtener derechos de ejecución de JavaScript dentro de la plantilla. Al usar motores de plantillas ‘sin lógica’ como Mustache, se puede evitar la introducción de vulnerabilidades de inyección de plantillas del lado del servidor», dijo la compañía.

«Separar la lógica de la presentación tanto como sea posible puede reducir en gran medida su exposición a los ataques basados en plantillas más peligrosos», agregó.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180192143715428 Nombre: Masterhacks LATAM Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *