”דרגת סיכון גבוהה”: חוקרים ישראליים מצאו חולשה בספריית npm פופולרית

החולשה, שנחשבת בדרגת סיכון גבוהה, מאפשרת לתוקף להזריק לכם קוד זדוני בלי שתדעו

מקור: npm

מפתחים ומנהלי פרויקטים רבים עושים שימוב ב-npm, מנהל ההרחבות הפופולארי של Node.js שנקנה במרץ האחרון על ידי גיטהאב של מיקרוסופט. למעשה, מאגר החבילות מציע יותר ממיליון ספריות שמשמשות יותר מ-12 מיליון מפתחי JS ברחבי העולם, מה שמצטבר ללא פחות מ-75 מיליארד הורדות מידי חודש – ועל כן חשובים כל-כך היבטי האבטחה שלו.

דן שלום, חוקר אבטחה ב-OP Innovate, גילה חולשה בחבילה בשם Kerberos, שלה יש עשרות אלפי הורדות מדי שבוע, שבעצם מאפשרת הזרקה של קוד זדוני על ידי תוקף בעשרות גירסאות שונות של החבילה. החולשה מתרחשת בסביבת ווינדוס, המשתמשת בקובצי DLL (ספריות קישור דינאמיות), אשר מכילות קוד שתוכנות משתמשות בו. שלום גילה כי Kerberos טוענת DLL לזכרון באמצעות שם בלבד, ולא מאמתת את הנתיב המלא שלהן.

כאשר האלגוריתם מאחורי הפונקציה לא יודע היכן נמצא ה-DLL המבוקש, הוא מחפש את השם שלו בסט של תיקיות. אם תוקף רוצה לנצל את החולשה הזאת, שגורמת לספריה לא לבדוק שהיא משתמש ב-DLL הנכון, כל שהוא צריך לעשות הוא להיכנס לתיקיות בהן הספריה מחפשת ולהכניס קובץ DLL זדוני בעל אותו השם. לאחר שהקובץ הזדוני יטען לזיכרון, התוקף יכול להריץ את הקובץ באופן מקומי ולהמשיך את התקיפה בעיקר על ידי השגת הרשאות מתקדמות, ומשם השמיים הם הגבול.

כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים להצטרפות לערוץ הטלגרם שלנו לחץ כאן

בשיחה עם גיקטיים מבהיר שלום כי למרבה המזל, התוקף זקוק לגישה לוקאלית, מה שעשוי להקטין את הסיכון, אך פוטנציאל הנזק האפשרי מהרגע שהוא מצליח לנצל את החולשה הוביל את מאגר החולשות האמריקאי (Nist) להענקת הציון 7.8 לחולשה שנמצאה, מה שמעיד על כך שמדובר בחולשה ברמת סיכון גבוהה (High). לאחר גילוי החולשה, שלום דיווח על הממצאים ל-npm, אשר בסופו של דבר פירסמה אותה וביקשה ממשתמשי Kerberos לשדרג בהקדם את הספריה לגירסה 1.0.0 ומעלה, כך שאם אתם משתמשים בה, זה הזמן לעדכן אותה.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

25 תגובות על "”דרגת סיכון גבוהה”: חוקרים ישראליים מצאו חולשה בספריית npm פופולרית"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אופיר
Guest

החולשה היא לא ב npm אלא באחת החבילות שניתן להוריד בעזרת npm.
כל אחד יכול להעלות חבילות ל npm , זה קוד פתוח!

האקשמאק
Guest

הדבר הכי חשוב בכתבה הזאת זה לעדכן את החבילה הספציפית שעשויה לגרום לכך שהמערכת שלה תהיה לא בטוחה. החולשה היא בחבילה שנמצאת תחת אחריות NPM.

אופיר
Guest

אז לפי מה שאתה אומר על אותו משקל גיטהאב אחראית לכל חולשת אבטחה בכל ריפו שקיים בה?

מספר שתיים
Guest

לא ממש הבנתי את החולשה- “למרבה המזל, התוקף זקוק לגישה לוקאלית”??
אם התוקף כבר בפנים אז זה במילא game-over לא?

אחד שלא יודע
Guest

1. במקרה שיש לך ביד יכולת רק לפרוס קובץ מרחוק אבל לא לגרום להרצה של קוד.
2. במקרה שאתה בפנים אבל בלי הרשאות והפרוסס שטוען את ה DLL הוא עם הרשאות גבוהות – LPE

מרק
Guest

אבל צריך קודם להחליף את הDLL המקורי
זה בג”F דורש הרשאות

אשטנקר
Guest

נו מה אפשר לצפות מפועלי הבניין הוירטואלים. רק לעשות CRUD הם יודעים אבל אין שם שום בינה ושכל

NPM HAXOR
Guest

OP Innovate שיהיה בגוגל – לייצנים אחד אחד חחח , אפשר לפוצץ מחשב עם מנטוס וקולה – LPE !!!! RCE ZERO DAY !!! RACE . דן שלום מלך החוקרים תותח מן השורה החמישית

אבא דואג
Guest

וזה מה שקורה ילדים כשצורכים יותר מדי סמים.

חיה של חבילות
Guest

זה מה שקורה כשאתה סתם מתקין חבילות ולא תוכנות

אבי
Guest

רק מאק!

בוט
Guest

נו באמת, זהו נגמרו כבר הנושאים?!
יש כל כך הרבה ספריות ב-npm שיש להם בעיות אבטחה, שאם היית כותב על כל שטות כזאת, האתר שלך היה הופך למסד נתונים.
חלק גדול ומאוד נכבד של בעיות אבטחה על ספריות בינוניות וגדולות מדווחות באתרים יעודיים ומתוקנים די באופן מיידי.
הכותרת שלך מטעה ולא נכונה, אין בעיית אבטחה ב-npm עצמו אלא באחת הספריות שלה, kerberos שכבר תוקנה.
עידן, אין צורך לרמות ולשקר, רק בשביל להביא עוד קוראים. אל תהיה לי כתב טיפוסי רמאי.

nope
Guest

מישהו לא קיבל את העוגי שלו הבוקר..

זה שנמאס לו מבוטים
Guest
זה שנמאס לו מבוטים

על מה אתה מדבר זאת אחת הכתבות החשובות שנתקלתי בהם!
הארגון שלנו משתמש ב kerberos ובזכות הכתבה מיהרנו לעדכן ולהמנע מפגיעויות.

עידן, כתבה מעולה. תוכן חשוב ורלוונטי. תמשיך לעשות עבודה מצוינת.

חיים
Guest

איזה עדכון בוצע?
יש hashים או גרסאות רלוונטיות פגיעות?

בוט
Guest
בוט
Guest

חבריקו, אם אתה לא משתמש בכלי ניטור ואבטחה, זאת בעיה שלך ושל החברה שלך. לפחות תקרא על עידכוני אבטחה שמדווחים באופן שוטף ב-npm.
אם אתם כחברה מסתמכים על כתבות מהסוג הזה, שבאו באיחור ובתזמון כל כך גרוע, אז יש לכם כאוס טוטאלי בחברה והמצב שלכם על הפנים.
אולי תגלה לי גם את שם החברה? זה יהיה מעניין ומשעשע :)

משתמש אובונטו
Guest

לא הבנתי, האם Kerberos מוטמע בnpm? אם זה סתם חבילה באחד הrepo שלה, אז מה הקשר? זה כמו להגיד “התגלתה פרצת אבטחה באינטרנט”.

שנית, צר לי לשמוע שיש עדיין מתכנתים שמשתמשים בווינדוס.

דבר אחרון: משתמע שהמשתמש צריך הרשאת כתיבת קבצים. למי שיש גישה כזו, יכול להחליף הרבה יותר מהDLL המסכן הזה. מה הבעיה להחליף כל dll או EXE למשהו חלופי שמכיל קוד זדוני?

זה אולי אפקטיבי למי שיש גישת כתיבה רק לתיקיות שרלוונטיות לnpm ולכן יכול להחליף רק קבצים שלו. נו, טוב. שיהיה

יוני
Guest

אם אני זוכר נכון, זו חבילה של אימות אל מול windows authentication , אימות די פופולרי בארגונים – גם גדולים ובינלאומיים

האקשמאק
Guest

ממליץ להכנס לבלוג שלהם ולקרוא את המאמר שהם שמו. מפרט בצורה רחבה יותר:
https://www.op-c.net/2020/05/15/dll-injection-attack-in-kerberos-npm-package/

כלום בפיתה
Guest

לא מבין מה עשו פה ? יש בטוח אלף כאלה – אז מה אלף חולשות .
בטח יש גם פלאגאין שיושב על הגיטאב שיכול לעשות את זה – מיליון דברים עושים את זה. לפני חמש משהו חינמי שעושה את זה:
https://github.com/dpnishant/raptor
תודה על הפרסום כלום בפיתה בע”מ

MRobot
Guest

חשוב מאוד.
כל החכמולוגים פה שיוציאו CVE לעולם ואז יגיבו על ממצאים של תותחים.
ממליץ בחום להכנס לבלוג של החברה ולקרוא את המאמר שנכתב על ידי דן ומעמיק בנושא.

לובה
Guest

כותרת גדולה. כתבה קטנה.
אין ספק שניתן לבצע Privilege escalation על ידי ההתקפה. אבל:
א. זו בעיה של חבילה ספציפית – לא של npm
ב. למי שיש כבר גישה לוקאלית – יש המון דרכים לבצע הקפצת הרשאות.

עכשיו לוקחת כלב עם שלוש ראשים שלך – ולא באה בלובה יותר בחיים שלך!

לובה
Guest

ועוד משהו. כבר לפני שנתיים יצא עדכון שמתקן את הבעיה. כן. שנתיים. לא ממש ZD… מזל שלא בדקו ומצאו פרצה “חדשה” ב winamp

אחד שמתעניין
Guest

תודה רבה עידן על עוד תוכן איכותי, באמת כבוד לצוות הישראלי!

wpDiscuz

תגיות לכתבה: