Connect with us

Hi, what are you looking for?

Application Security

Cacat Kritis dalam Paket NPM Pac-Resolver Mempengaruhi 290.000 Repositori

view counter


Kerentanan tingkat keparahan tinggi yang baru-baru ini dibahas dalam paket NPC populer Pac-Resolver dapat dieksploitasi untuk mengeksekusi kode arbitrer dari jarak jauh.

kerentanan (CVE-2021-23406, CVSS skor 8.1) ditemukan dan dilaporkan oleh Tim Perry pada 30 Mei. Masalah ini diatasi dengan rilis Pac-Resolver 5.0.0 pada akhir Juli, tetapi informasi tentangnya tidak dipublikasikan sampai minggu lalu.

Di sebuah posting blog, Perry menjelaskan bahwa celah keamanan dapat dimanfaatkan oleh penyerang di jaringan lokal untuk mengeksekusi kode arbitrer dari jarak jauh di dalam proses Node.js ketika pengguna mencoba mengirim permintaan HTTP.

File PAC pada dasarnya adalah bagian dari kode JavaScript yang memberi tahu klien HTTP proxy mana yang digunakan untuk nama host tertentu dan dapat digunakan untuk distribusi aturan proxy yang kompleks, mengingat bahwa satu file dapat memetakan banyak tautan ke berbagai proxy.

Perry menemukan masalah di Pac-Proxy-Agent, yang bergantung pada dua paket – Pac-Resolver dan Degenerator – untuk membangun fungsi PAC, tanpa menawarkan mekanisme keamanan untuk eksekusi kode yang diberikan.

Pac-Resolve dirancang untuk menghasilkan fungsi resolver asinkron dari file PAC (Proxy Auto-Config). Paket ini memiliki sekitar 3 juta unduhan mingguan, dengan hampir 290.000 repositori GitHub bergantung padanya.

“Jika Anda menerima dan menggunakan file PAC yang tidak dipercaya, ini sangat buruk. Setiap kali Anda membuat permintaan menggunakan file PAC, itu dapat menjalankan kode arbitrer dan melakukan apa saja di sistem Anda, ”kata peneliti.

Advertisement. Scroll to continue reading.

Namun, untuk eksploitasi yang berhasil, penyerang harus berada di jaringan lokal dan juga membutuhkan kelemahan kedua, seperti konfigurasi yang rentan, untuk menetapkan nilai konfigurasi.

“Siapa pun yang menggunakan alat CLI Node.js yang dirancang untuk mendukung proxy perusahaan di kedai kopi, hotel, atau bandara berpotensi rentan, misalnya,” peneliti menjelaskan.

Penyerang perlu menyediakan file PAC berbahaya yang dapat keluar dari kotak pasir modul VM dan kemudian meyakinkan calon korban untuk menggunakan file PAC sebagai konfigurasi proxy mereka, yang akan memungkinkan penyerang menjalankan kode arbitrer pada mesin mereka.

Untuk menambal masalah, modul VM2 npm diimplementasikan. Tidak hanya dirancang untuk menjalankan kode yang tidak tepercaya, tetapi juga dikeraskan untuk memblokir pelarian kotak pasir.

“Jika Anda bergantung pada Pac-Resolver, dan ada kemungkinan Anda menggunakan file PAC dalam konfigurasi proxy Anda: perbarui ke Pac-Resolver v5+ sekarang,” saran peneliti.

Terkait: Cisco, Sonatype, dan Lainnya Bergabung dengan Open Source Security Foundation

Terkait: Alat Google Baru Membantu Pengembang Memvisualisasikan Ketergantungan Sumber Terbuka

Terkait: CodeCov Mengungkap Peretasan Rantai Pasokan Perangkat Lunak yang Tidak Menyenangkan

Advertisement. Scroll to continue reading.

Ionut Arghire adalah koresponden internasional untuk SecurityWeek.

Kolom Sebelumnya oleh Ionut Arghire:
Tag:

.



Source

Click to comment

Leave a Reply

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Artikel Lainnya

ICS/OT

SecurityWeek telah menyusun daftar saran yang diterbitkan oleh sistem kontrol industri (ICS) dan vendor terkait industri lainnya sebagai tanggapan terhadap masalah baru-baru ini. Kerentanan...

NEWS & INDUSTRY

Citrix minggu ini merilis patch untuk beberapa kerentanan yang mempengaruhi Citrix ADC, Gateway, dan SD-WAN, termasuk bug kritis yang mengarah ke penolakan layanan (DoS)....

NEWS & INDUSTRY

Sebanyak 17 jenis kerentanan, termasuk banyak yang dinilai kritis dan tingkat keparahan tinggi, telah ditemukan oleh para peneliti dalam produk manajemen data Versiondog yang...

NEWS & INDUSTRY

Cisco minggu ini mengumumkan ketersediaan patch untuk serangkaian kerentanan kritis dalam perangkat lunak IOS XE yang dapat dieksploitasi untuk mengeksekusi kode arbitrer dari jarak...

Advertisement
close