DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Lỗi trong tiện ích mở rộng của VSCode có thể dẫn đến tấn công chuỗi cung ứng
Các lỗi nghiêm trọng trong các tiện ích mở rộng phổ biến của Visual Studio Code có thể cho phép kẻ tấn công thâm nhập máy tính cục bộ cũng như xây dựng và triển khai hệ thống thông qua môi trường phát triển tích hợp của nhà phát triển (IDE).
Các tiện ích mở rộng tồn tại lỗ hổng có thể bị khai thác để chạy mã tùy ý từ xa trên hệ thống của nhà phát triển, dẫn đến các cuộc tấn công chuỗi cung ứng.
Có thể kể đến một số tiện ích mở rộng trong số này như "LaTeX Workshop", "Rainbow Fart", "Open in Default Browser" và "Instant Markdown", với tổng hai triệu lượt cài đặt.
Các nhà nghiên cứu của Synk cho biết: "Máy tính của nhà phát triển thường giữ các thông tin xác thực quan trọng, cho phép kẻ tấn công tương tác trực tiếp hoặc gián tiếp với nhiều phần của sản phẩm. Việc rò rỉ khóa riêng tư của nhà phát triển có thể cho phép hacker sao chép cơ sở mã của thành phần quan trọng hoặc thậm chí kết nối với các máy chủ sản xuất".
Các tiện ích mở rộng VS Code giống như tiện ích bổ sung của trình duyệt, cho phép nhà phát triển sử dụng hiệu quả trình soạn thảo mã nguồn Microsoft Visual Studio Code với các tính năng bổ sung như ngôn ngữ lập trình và trình gỡ lỗi liên quan đến quy trình phát triển. VS Code được sử dụng bởi 14 triệu người dùng, khiến nó trở thành một mảnh đất 'màu mỡ' đối với hacker.
Kiểm tra các tiện ích mở rộng tồn tại lỗ hổng, các nhà nghiên cứu cho rằng tin tặc có thể lợi dụng chúng để thực hiện các cuộc tấn công chuỗi cung ứng.
Theo đó, lỗ hổng path traversal trong Instant Markdown có thể bị kẻ tấn công có quyền truy cập vào máy chủ web cục bộ để truy xuất bất kỳ tệp nào được lưu trữ trên máy tính bằng cách lừa nhà phát triển nhấp vào một URL độc hại.
Trong PoC, các nhà nghiên cứu chỉ ra rằng có thể khai thác lỗ hổng này để lấy cắp khóa SSH từ một nhà phát triển đang chạy VS Code và có cài tiện ích Instant Markdown hoặc Open in Default Browser trong IDE. Mặt khác, tiện ích LaTeX Workshop tồn tại lỗ hổng command injection cho phép chạy các mã độc hại.
Tiện ích mở rộng Rainbow Fart có lỗ hổng zip slip, cho phép kẻ tấn công ghi đè các tệp tùy ý trên máy tính của nạn nhân và thực thi mã từ xa. Trong một cuộc tấn công mô phỏng, một tệp ZIP được gửi qua endpoint "import-voice-package" được plugin sử dụng với mục đích ghi tệp nằm ngoài thư mục plugin hoạt động.
Các nhà nghiên cứu cảnh báo: "Cuộc tấn công này có thể được sử dụng để ghi đè lên các tệp như '.bashrc' và cuối cùng đạt được khả năng thực thi mã từ xa".
Mặc dù các lỗi trong các tiện ích mở rộng đã được vá, những phát hiện này rất quan trọng trong bối cảnh một loạt các sự cố bảo mật cho thấy các nhà phát triển đã trở thành mục tiêu tấn công béo bở của tin tặc. Sẽ rất nguy hiểm nếu kẻ tấn công sử dụng nhiều loại phần mềm độc hại để xâm phạm các công cụ và môi trường phát triển cho các chiến dịch khác.
Các tiện ích mở rộng tồn tại lỗ hổng có thể bị khai thác để chạy mã tùy ý từ xa trên hệ thống của nhà phát triển, dẫn đến các cuộc tấn công chuỗi cung ứng.
Có thể kể đến một số tiện ích mở rộng trong số này như "LaTeX Workshop", "Rainbow Fart", "Open in Default Browser" và "Instant Markdown", với tổng hai triệu lượt cài đặt.
Các nhà nghiên cứu của Synk cho biết: "Máy tính của nhà phát triển thường giữ các thông tin xác thực quan trọng, cho phép kẻ tấn công tương tác trực tiếp hoặc gián tiếp với nhiều phần của sản phẩm. Việc rò rỉ khóa riêng tư của nhà phát triển có thể cho phép hacker sao chép cơ sở mã của thành phần quan trọng hoặc thậm chí kết nối với các máy chủ sản xuất".
Các tiện ích mở rộng VS Code giống như tiện ích bổ sung của trình duyệt, cho phép nhà phát triển sử dụng hiệu quả trình soạn thảo mã nguồn Microsoft Visual Studio Code với các tính năng bổ sung như ngôn ngữ lập trình và trình gỡ lỗi liên quan đến quy trình phát triển. VS Code được sử dụng bởi 14 triệu người dùng, khiến nó trở thành một mảnh đất 'màu mỡ' đối với hacker.
Kiểm tra các tiện ích mở rộng tồn tại lỗ hổng, các nhà nghiên cứu cho rằng tin tặc có thể lợi dụng chúng để thực hiện các cuộc tấn công chuỗi cung ứng.
Theo đó, lỗ hổng path traversal trong Instant Markdown có thể bị kẻ tấn công có quyền truy cập vào máy chủ web cục bộ để truy xuất bất kỳ tệp nào được lưu trữ trên máy tính bằng cách lừa nhà phát triển nhấp vào một URL độc hại.
Trong PoC, các nhà nghiên cứu chỉ ra rằng có thể khai thác lỗ hổng này để lấy cắp khóa SSH từ một nhà phát triển đang chạy VS Code và có cài tiện ích Instant Markdown hoặc Open in Default Browser trong IDE. Mặt khác, tiện ích LaTeX Workshop tồn tại lỗ hổng command injection cho phép chạy các mã độc hại.
Tiện ích mở rộng Rainbow Fart có lỗ hổng zip slip, cho phép kẻ tấn công ghi đè các tệp tùy ý trên máy tính của nạn nhân và thực thi mã từ xa. Trong một cuộc tấn công mô phỏng, một tệp ZIP được gửi qua endpoint "import-voice-package" được plugin sử dụng với mục đích ghi tệp nằm ngoài thư mục plugin hoạt động.
Các nhà nghiên cứu cảnh báo: "Cuộc tấn công này có thể được sử dụng để ghi đè lên các tệp như '.bashrc' và cuối cùng đạt được khả năng thực thi mã từ xa".
Mặc dù các lỗi trong các tiện ích mở rộng đã được vá, những phát hiện này rất quan trọng trong bối cảnh một loạt các sự cố bảo mật cho thấy các nhà phát triển đã trở thành mục tiêu tấn công béo bở của tin tặc. Sẽ rất nguy hiểm nếu kẻ tấn công sử dụng nhiều loại phần mềm độc hại để xâm phạm các công cụ và môi trường phát triển cho các chiến dịch khác.
Theo: thehackernews
Chỉnh sửa lần cuối bởi người điều hành: