ثغرات يوم الصفر
ثغرات يوم الصفر في LocalStack مرتبطة بتحقيق الاستيلاء عن بُعد على المثيلات المحلية
أمان السحابة لثغرات يوم الصفر
وبحسب ما ورد رفض مشرفو المشروع إصلاح العيوب بسبب سيناريوهات الهجوم المحدودة
ثغرات يوم الصفر في إطار عمل تطبيق سحابة LocalStack مرتبطة بالسلاسل لتحقيق الاستيلاء عن بُعد على المثيلات المحلية
يدعي باحثو الأمن أن الثغرات الحرجة في LocalStack ، وهو إطار شائع لبناء التطبيقات السحابية ، يمكن ربطها لتولي عن بعد مثيلات LocalStack التي يتم تشغيلها محليًا.
قام باحثون من Sonarsource بتوثيق كيفية دمج الثغرات الأمنية في البرمجة النصية عبر المواقع (XSS) وتزوير الطلب من جانب الخادم (SSRF) لتحقيق حقن أوامر نظام التشغيل مقابل تطبيق Python مفتوح المصدر.
ومع ذلك ، لا تزال الثغرات الأمنية غير مصححة في إصدارات LocalStack التي تم إصدارها لاحقًا – v0.12.6 و v0.12.7 – بعد أن قرر مشرفو المشروع أن سيناريوهات الهجوم في العالم الحقيقي كانت “محدودة” ، كما قال الباحث في Sonarsource Dennis Brinkrolf في منشور مدونة نُشر في 2 مارس.
مهاجمة المكدس
لاحظ الباحثون أن LocalStack يفتقر إلى المصادقة ، ربما لأن البرنامج “يعمل محليًا أو في بيئة Docker ، على النحو الموصى به من قبل البائع” وبالتالي لا يتعرض مباشرة للإنترنت ، كما اقترح Brinkrolf.
وأضاف: “ومع ذلك ، فمن المغالطة الشائعة أن هذا النوع من التطبيقات لا يمكن مهاجمته” من قبل الجهات الخارجية ، مشيرًا إلى أن ما يسمى “بهجمات التزييف” التي سبق لها اختراق أجهزة توجيه الشبكة عبر واجهة الويب الخاصة بهم.
اقرأ المزيد من أحدث أخبار الأمن السحابي
نقلاً عن مقطع فيديو من Sonarsource يوضح هجوم LocalStack ، قال يوهانس داهسي ، رئيس قسم البحث والتطوير في شركة المعلومات السويسرية ، لصحيفة The Daily Swig: “كل ما يتطلبه الأمر هو استضافة موقع ويب ضار ، على سبيل المثال مع محتوى مثير للاهتمام يتعلق بـ LocalStack.
“إذا تم تحفيز المهاجم لاستهداف مطور LocalStack ، فنحن نعتقد أنه من المحتمل أن ينجح.”
لم يرد مشرفو مشروع LocalStack بعد على الأسئلة المرسلة إليهم عبر البريد الإلكتروني من قبل The Daily Swig ، لكننا سنقوم بتحديث المقالة إذا تلقينا ردًا.
CORS للقلق
يتم استخدام LocalStack لإعداد بيئات AWS السحابية داخل الشبكات المحلية من أجل تطوير واختبار التطبيقات السحابية والخوادم.
وجد الباحثون أن المهاجمين عن بُعد يمكن أن يتفاعلوا مع مثيلات LocalStack التي يتم تشغيلها محليًا من خلال متصفح الضحية ، والتي قد يستخدمونها لقراءة الوثائق ، كما اقترح Brinkrolf.
“عندما تزور هذه الضحية (أو يتم استدراجها إلى) موقع ويب ضار / مصاب يتحكم فيه مهاجم ، فمن الممكن تشغيل طلبات HTTP عبر المواقع إلى الشبكة المحلية للضحية عبر شفرة JavaScript.”
على الرغم من أن هذا يعني أن “المهاجم يمكنه إرسال طلبات عشوائية من موقع ويب إلى مثيل LocalStack” ، إلا أن آلية مشاركة الموارد عبر الأصل (CORS) التي تم نشرها بواسطة المتصفحات الشائعة تمنعه من قراءة الردود ، كما قال الباحث.
تابع آخر أخبار الثغرات الأمنية
ومع ذلك ، فإن إرسال حمولة الهجوم بشكل أعمى يمكن أن يظل “كافيًا لتنفيذ هجوم ناجح عبر” تقنيات تزوير الطلبات عبر المواقع (CSRF).
“علاوة على ذلك ، يسمح LocalStack صراحة بتنفيذ الطلبات عبر الأصل من خلال أي صفحة عن طريق تعيين رؤوس HTTP خاصة في الاستجابة ،” تابع برينكرولف.
“هذا يعني أن المهاجم يمكنه اكتشاف ومهاجمة مثيل LocalStack من خلال استجابة XHR ولا يعمل فعليًا بشكل أعمى.”
على الرغم من أن المتصفحات الرائدة قد شددت مؤخرًا قيود CORS “لتقليل احتمالية هجمات CSRF” ، فقد تم تجاوزها من خلال ثغرة XSS التي اكتشفها الباحثون.
MitM مستتر
يمكن لحمولة CSRF أيضًا إعادة تكوين جهاز توجيه الحافة الذي يقوم بترحيل الطلبات إلى LocalStack APIs وإضافة وكيل “يشير إلى IP الذي يتحكم فيه المهاجمون كمضيف وكيل” ، مما يؤدي إلى ثغرة أمنية دائمة في SSRF.
نظرًا لأن “الخادم ينسخ طلب HTTP بالكامل من العميل ويعيد توجيهه إلى الخادم” ، فإن رؤوس HTTP للعميل – بما في ذلك رأس مصادقة سحابة AWS – يتم إرسالها بعد ذلك إلى الخادم الذي يتحكم فيه المهاجم ، مما يمهد الطريق لـ “الجلسة اختطاف وسرقة البيانات الحساسة من سحابة الاختبار “.
ونظرًا لأن استجابة HTTP الخاصة بطلب SSRF “تمت طباعتها في LocalStack بدون حماية” ، فإن حمولة XSS من خادم المهاجم تؤدي إلى وكيل مناور دائم في الوسط (MitM) “يتيح إساءة استخدام المزيد من الميزات” وإمكانية ” تشغيل ثغرات أخرى في التعليمات البرمجية “- بما في ذلك ثغرة إدخال الأوامر الموضحة في منشور مدونة Brinkrolf.
يقول الباحثون إنهم اكتشفوا أيضًا خطأ رفض الخدمة (ReDoS) في النظام الأساسي.
تهديد في العالم الحقيقي؟
قال برينكرولف إن Sonarsource أخطرت لأول مرة مشرفين LocalStack بالثغرات الأمنية في أكتوبر 2020 واتصلت بهم في مناسبتين أخريين ، قبل وصول رد في يناير يشير إلى أن المشرفين رأوا التنفيذ المحلي للتطبيق على أنه عائق كبير أمام الاستغلال.
قال برينكرولف: “بينما نتفق على أن احتمال وقوع هجمات في العالم الحقيقي ضد التطبيقات المحلية أقل احتمالًا منها ضد التطبيقات المكشوفة بشكل مباشر ، فإننا نعتقد أن المطورين يجب أن يكونوا على دراية بهذه المخاطر من أجل حماية أجهزتهم”.
وأضاف يوهانس داهسي: “من أجل الحفاظ على سطح الهجوم صغيرًا قدر الإمكان ، نعتقد أنه يجب معالجة جميع نقاط الضعف في التعليمات البرمجية.”