Linux è accessibile ad attacchi remoti
Buongiorno cari lettori, oggi parleremo delle insicurezze di linux.
I ricercatori di sicurezza informatica della società di infosec Positive Security con sede a Berlino hanno identificato due gravi vulnerabilità zero-day che hanno un impatto sui mercati FOSS (software gratuito e open source) basati su Pling per Linux.
Le vulnerabilità rimangono senza patch e possono essere sfruttate per lanciare attacchi alla catena di approvvigionamento o ottenere RCE ( esecuzione di codice remoto ) contro i mercati Linux. Le vulnerabilità sono state scoperte in Pling di Opendesktop. Il cofondatore di Positive Security, Fabian Bräunlein, ha spiegato in un blog tecnico pubblicato mercoledì che:
“I marketplace Linux che si basano sulla piattaforma Pling sono vulnerabili a un wormable [cross-site scripting] con il potenziale per un attacco alla catena di approvvigionamento . L'applicazione nativa PlingStore è interessata da una vulnerabilità RCE, che può essere attivata da qualsiasi sito Web mentre l'applicazione è in esecuzione.
App interessate
Le app interessate dalle vulnerabilità includono quanto segue:
appimagehub.com,
store.kde.org,
gnome-look.org,
xfce-look.org,
pling.com.
PlingStore è un gestore di contenuti e un programma di installazione per i siti compatibili con OCS. Facilita l'installazione di icone e temi del desktop, cursori del mouse e sfondi all'interno di ambienti desktop, ad esempio KDE Plasma, Gnome e XFCE. Gli utenti possono cercare/installare software, icone, temi e componenti aggiuntivi Linux che potrebbero non essere disponibili per il download tramite l'hub software della distribuzione.
Come sono stati scoperti i difetti
Secondo Bräunlein, ha scoperto il difetto durante il test del meccanismo di gestione dell'URI/Uniform Resource Identifier dell'app store di KDE Discover. Ha trovato un campo che consente agli utenti di incorporare contenuti multimediali in un elenco. Questo campo sembrava XSS "by design".
Difetti senza patch che espongono i mercati Linux ad attacchi remoti
Immagine: sicurezza positiva
Ha quindi aggiunto un iframe e un payload JavaScript dannoso in un'altra riga, che ha creato un XSS memorizzato. Il problema è stato segnalato per la prima volta a Opendesktop il 24 febbraio e Fabian ha ripetutamente inviato e-mail di follow-up, fatto una telefonata e pubblicato sul forum di chat di Pling. Fino al 18 giugno non ha ricevuto alcuna risposta, quindi ha avvertito i project manager che sarebbe diventato pubblico e, infine, lo ha fatto il 22 giugno 2021.
Dettagli attacco
Fabian afferma che questo XSS può essere utilizzato per "modificare le inserzioni attive o pubblicare nuove inserzioni sul Pling Store nel contesto di altri utenti, risultando in XSS wormable". Consentirà inoltre agli aggressori di lanciare un attacco alla catena di approvvigionamento. Il payload JavaScript dannoso caricherà una versione del software backdoor per modificare i metadati della vittima e includere il payload.
Secondo Fabian, l'XSS può essere facilmente sfruttato poiché l'XSS memorizzato viene attivato ogni volta che qualcuno visita l'elenco e non ha nemmeno bisogno dell'interazione dell'utente. Fabian ha anche scoperto che una vulnerabilità RCE ha un impatto sull'app PlingStore che un utente malintenzionato può attivare da qualsiasi sito Web se l'app viene eseguita in background.
“Durante l'avvio, l'app PlingStore Electron lancia anche un componente che ascolta i comandi su un socket locale. Non è possibile verificare se i comandi provengono effettivamente dall'app Electron, quindi qualsiasi sito Web può inviare tali comandi avviando una connessione WebSocket", ha scritto Fabian nel post sul blog .
