Za kulisami projekt otwartej platformy Spotify do tworzenia portali dla programistów miał lukę w zabezpieczeniach o dużej wadze, która umożliwiała potencjalnym cyberprzestępcom zdalne wykonanie nieuwierzytelnionego kodu w projekcie. Luka została odkryta przez dostawców bezpieczeństwa aplikacji chmurowych Oxeye, a później załatana przez Spotify.
Użytkownikom zaleca się aktualizację Backstage do wersji 1.5.1, która rozwiązuje problem.
Wyjaśniając, w jaki sposób odkryli lukę, badacze Oxeye powiedzieli, że wykorzystali obejście piaskownicy maszyny wirtualnej za pośrednictwem biblioteki vm2 innej firmy, umożliwiając im wykonanie nieuwierzytelnionego kodu zdalnego.
Ataki oparte na wzorcach
„Wykorzystując obejście piaskownicy vm2 w podstawowej wtyczce Scaffolder, która jest używana domyślnie, nieuwierzytelnieni hakerzy mają możliwość wykonywania dowolnych poleceń systemowych w aplikacji Backstage” — powiedział Yuval Ostrovsky, architekt oprogramowania w firmie Oxeye. „Krytyczne luki w aplikacjach natywnych dla chmury, takie jak ta, stają się coraz bardziej powszechne i bardzo ważne jest, aby problemy te zostały niezwłocznie rozwiązane”.
„To, co przykuło naszą uwagę w tym przypadku, to wzorce oprogramowania Backstage i potencjał ataków opartych na wzorcach” — powiedział Daniel Abeles, szef działu badań firmy Oxeye. „Gdy zastanawialiśmy się, jak ograniczyć to ryzyko, zauważyliśmy, że mechanizmem szablonów można manipulować, aby uruchamiać polecenia powłoki przy użyciu kontrolowanych przez użytkownika szablonów z Nunjucks poza środowiskiem piaskownicy.
Celem Backstage jest optymalizacja środowiska programistycznego poprzez ujednolicenie wszystkich narzędzi infrastruktury, usług i dokumentacji. Według Oxeye ma ponad 19 000 gwiazdek na GitHub, co czyni go jedną z najpopularniejszych platform open source do tworzenia portali deweloperskich. Spotify, American Airlines, Netflix, Splunk, Fidelity Investments, Epic Games i Palo Alto Networks to tylko niektóre z firm, które korzystają z Backstage.
Wyjaśniając problem i możliwe rozwiązania bardziej szczegółowo, badacze powiedzieli, że root ucieczki maszyny wirtualnej opartej na szablonie był w stanie uzyskać prawa wykonywania JavaScript na szablonie. Wyjaśniono, że bezlogiczne silniki szablonów, takie jak Mustache, uniemożliwiają wprowadzenie wstrzykiwania szablonów po stronie serwera, eliminując w ten sposób problem.
„Jeśli używasz silnika szablonów w aplikacji, upewnij się, że wybrałeś właściwy pod względem bezpieczeństwa. Solidne silniki szablonów są niezwykle przydatne, ale mogą stanowić zagrożenie dla organizacji” — powiedział Gal Goldshtein, starszy badacz ds. bezpieczeństwa w firmie Oxeye. „Jeśli korzystasz z Backstage, zdecydowanie zalecamy aktualizację do najnowszej wersji, aby jak najszybciej bronić się przed tą luką”.