Lỗ hổng suply-chain ảnh hưởng tới "Pling Store" trên Linux

W

WhiteHat News #ID:3333

VIP Members
04/06/2014
37
446 bài viết
Lỗ hổng suply-chain ảnh hưởng tới "Pling Store" trên Linux
W

Các nhà nghiên cứu vừa tiết lộ một lỗ hổng nghiêm trọng chưa được vá ảnh hưởng đến các chợ ứng dụng Pling dành cho nền tảng Linux, có khả năng bị lợi dụng để tấn công chuỗi cung ứng và thực thi mã từ xa (RCE).
Đồng sáng lập Positive Security Fabian Bräunlein cho biết: “Chợ ứng dụng Linux dựa trên nền tảng Pling có lỗi dễ dẫn đến khả năng tấn công chuỗi cung ứng". Ứng dụng PlingStore gốc bị ảnh hưởng bởi lỗ hổng RCE, lỗ hổng này có thể được kích hoạt từ bất kỳ trang web nào khi đang chạy".
Các cửa hàng ứng dụng dựa trên Pling bị ảnh hưởng bởi lỗ hổng bao gồm:
· appimagehub.com
· store.kde.org
· gnome-look.org
· xfce-look.org
· pling.com
linux-pling-store-jpg.9075
PlingStore cho phép người dùng tìm kiếm và cài đặt phần mềm, chủ đề, biểu tượng và các tiện ích bổ sung khác cho Linux không có trong danh sách phần mềm của nhà phân phối.
Lỗ hổng bắt nguồn từ việc xử lý trang danh sách sản phẩm HTM. Do đó hacker có khả năng đưa mã JavaScript độc nhằm thực thi mã tùy ý.
Bräunlein cho biết: “XSS được lưu trữ này có thể sử dụng để sửa đổi danh sách đang hoạt động hoặc đăng danh sách mới trên cửa hàng Pling”.
Rắc rối hơn, điều này có thể dẫn đến một cuộc tấn công chuỗi cung ứng, trong đó hacker có thể khai thác một payload JavaScript để tải lên các phiên bản phần mềm có chứa trojan và chỉnh sửa siêu dữ liệu danh sách của nạn nhân để tấn công.
“Do ứng dụng có thể cài đặt các ứng dụng khác, nên có một cơ chế tích hợp để thực thi mã ở cấp [hệ điều hành]. Cơ chế đó có thể bị khai thác bởi bất kỳ trang web nào để chạy mã gốc tùy ý khi ứng dụng PlingStore đang chạy nền", Bräunlein giải thích
Nói cách khác, khi người dùng truy cập một trang web độc hại thông qua trình duyệt, XSS được kích hoạt bên trong ứng dụng Pling khi nó đang chạy ở chế độ nền. Mã JavaScript trong trang web không chỉ thiết lập kết nối với máy chủ WebSocket cục bộ vốn được sử dụng để nghe thông báo từ ứng dụng, mà còn sử dụng máy chủ này để gửi thông báo thực thi mã gốc tùy ý bằng cách tải xuống và thực thi tệp. AppImage.

Lỗ hổng đã được báo cáo ngày 24 /2, KDE Project và GNOME Security đã phát hành các bản vá cho lỗ hổng trên hệ thống của mình. Tuy nhiên, do lỗ hổng RCE liên quan đến PlingStore vẫn chưa được khắc phục, người dùng không nên chạy ứng dụng Electron cho đến khi có bản sửa lỗi.

Theo: The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng nghiêm trọng trong PuTTY làm rò rỉ khóa riêng
  • Thực hư về lỗ hổng zero-day trong Telegram cho phép khởi chạy tập lệnh Python
  • Cảnh báo: Lỗ hổng zero-day 10 điểm trong hệ điều hành tường lửa PAN-OS
  • Lỗ hổng nghiêm trọng trong Spring Framework cho phép đánh cắp thông tin người dùng
  • Node.js xử lý lỗ hổng command injection dễ bị khai thác trên hệ điều hành Windows
  • Patch Tuesday tháng 4 của Microsoft giải quyết 2 lỗ hổng đang bị khai thác
    • Bên trên