Connect with us

Deutsch

23andMe und JFrog schließen sich zusammen, um die Schwachstelle bei der Codeinjektion zu beheben

Published

on

Sicherheitsforscher von JFrog arbeiteten mit dem Biotechnologieunternehmen 23andMe zusammen, um eine Schwachstelle mit Yamale zu beheben, einem Tool, das vom Unternehmen geschrieben und von über 200 Repositorys verwendet wird.

CVE-2021-38305 ermöglicht es Angreifern, bestehende Schutzmaßnahmen zu umgehen und beliebigen Python-Code auszuführen, indem sie die Schemadatei manipulieren, die als Eingabe für Yamale bereitgestellt wird, so das JFrog-Sicherheitsforschungsteam.

Ein 23andMe-Sprecher sagte ZDNet, dass 23andMe Security über eine Problemumgehung für einen Patch informiert wurde, der für Yamale erstellt wurde, die vom Unternehmen erstellte Open-Source-Bibliothek, um zu überprüfen, ob YAML-Dateien im richtigen Format vorliegen und alle korrekten Felder aufweisen.

In einem Blog-Beitrag und in Interviews mit ZDNet sagte Shachar Menashe, Senior Director of Security Research bei JFrog, die Sicherheitsanfälligkeit sei „extrem schwerwiegend, wenn die Voraussetzungen für den Angriff gegeben sind, da die Auswirkungen am höchsten sind (Remote-Codeausführung) und Ausnutzung“. ist trivial und stabil (Befehlsinjektion).”

Der Blog hebt die Fälle hervor, in denen das Team glaubt, dass die Sicherheitsanfälligkeit am ausnutzbarsten wäre.

„Das Sicherheitsforschungsteam von JFrog führt derzeit einen Scan der gesamten PyPI-Datenbank durch, um die Landschaft des Open-Source-Python-Codes zu verbessern. Indem wir Schwachstellen automatisch erkennen und offenlegen, ist es unser Ziel, Schwachstellen zu mindern, die Kundensysteme und die nationale Infrastruktur bedrohen.“ “, sagte Menasche.

“Das Ergebnis wurde mit unserer automatisierten Technologie zur Erkennung von Schwachstellen entdeckt. Dies sind die gleichen Arten von Code-Scannern, die die bösartigen PyPI-Pakete gefunden haben, die wir im Juli offengelegt haben. Wir führen unsere Scanner für die gesamte PyPI-Datenbank aus und führen eine verantwortungsvolle Offenlegung aller gefundenen Schwachstellen durch , nachdem wir sie überprüft haben. Da Yamale über PyPI verfügbar ist, wurde es im Rahmen dieser Bemühungen gescannt. 23andMe hat Yamale tatsächlich als internes Tool geschrieben.”

Yamale ist ein beliebter Schemavalidator für YAML, der weit verbreitet ist. Ein Angreifer, der den Inhalt der an Yamale gelieferten Schemadatei kontrollieren kann, kann eine scheinbar gültige Schemadatei bereitstellen, die dazu führt, dass beliebigen Python-Code ausgeführt wird, erklärte Menashe.

Menashe merkte an, dass das zugrunde liegende Problem darin besteht, dass ein Angreifer durch Python-Reflektion jeden benötigten eingebauten Code “zurückholen” kann und beliebigen Code ausführen kann.

In dem Blog-Beitrag sagten die JFrog-Forscher, dass ein Angreifer in der Lage sein muss, den Inhalt der Schemadatei anzugeben, um Python-Code einzuschleusen, stellten jedoch fest, dass dies aus der Ferne ausgenutzt werden kann, wenn ein Code des Anbieters einem Angreifer dies ermöglicht.

Die wahrscheinlichste Ausnutzung, so das Sicherheitsunternehmen, würde Sicherheitslücken beinhalten, die durch Befehlszeilenparameter über ein separates Parameter-Injection-Problem ausgelöst werden.

Asaf Karas, CTO von JFrog Security, fügte hinzu, dass YAML, da es so beliebt, kompatibel und weit verbreitet ist, oft das Ziel von Angriffen ist.

„Diese Lücke ermöglicht es Angreifern, die eine Eingabeschemadatei bereitstellen können, Python-Codeinjektion durchzuführen, die zur Codeausführung mit den Rechten des Yamale-Prozesses führt. Wir empfehlen, alle Eingaben, die an eval() gehen, umfassend zu bereinigen und – vorzugsweise – eval()-Aufrufe zu ersetzen mit spezifischeren APIs, die für Ihre Aufgabe erforderlich sind”, sagte Karas.

Das Unternehmen lobte die Betreuer von Yamale für die Validierung und Behebung des Problems „in Rekordzeit“ und für „die verantwortungsvolle Erstellung eines CVE für das Problem, nachdem die behobene Version verfügbar war“.

Der 23andMe-Sprecher sagte, der ursprüngliche Patch sollte eine Schwachstelle für Benutzer abdecken, die nicht vertrauenswürdige YAML-Schemas analysieren.

„YAML-Dateien sind davon unberührt geblieben und werden mit einem Safe Loader geparst. 23andMe arbeitet aktiv an einer Lösung. In der Zwischenzeit werden wir einen Hinweis zur Projekt-Readme hinzufügen, der expliziter besagt, dass YAML-Schemas immer aus einer vertrauenswürdigen Quelle stammen sollten. “, sagte der Sprecher.

„Dieses Tool ist in keinem der 23andMe-Unternehmensprozesse implementiert und beeinflusst in keiner Weise das Kundenerlebnis oder die Kundendaten. “ fügte das Unternehmen hinzu.

Continue Reading

Copyright © 2021 Meta Mag Inc.