Now Reading
Kritischer Quarkus-Fehler bedroht Cloud-Entwickler mit Easy RCE

Kritischer Quarkus-Fehler bedroht Cloud-Entwickler mit Easy RCE

Kritischer Quarkus-Fehler bedroht Cloud-Entwickler mit Easy RCE


Ein kritischer RCE-Fehler (Remote Identifikationsnummer Execution) in einem Open-Source-JVM-Framework (Java Virtual Machine) bedroht Unternehmensumgebungen, während er Angreifern eine einfache Möglichkeit bietet, Entwicklungsteams zu kompromittieren und so Zugriff aufwärts Produktionssysteme zu erhalten.

Dies sagt Joseph Beeton, Senior Application Security Researcher zusammen mit Contrast Security, welcher die Schwachstelle in Quarkus entdeckte, einem von Red Hat verwalteten, Kubernetes-nativen Java-Framework, dasjenige zu Händen JVMs optimiert ist.

Dieser Fehler wird denn CVE-2022-4116 verfolgt und hat im CVSS eine Ordnung von 9,8 erhalten.

Dies relativ neue Quarkus-Framework wird denn Plattform zu Händen serverlose, Cloud- und Kubernetes-Umgebungen verwendet – letzteres ist real die Container-Management-Plattform zu Händen Cloud-native Umgebungen und hat zahlreiche eigene Sicherheitsprobleme.

Dieser Quarkus-Fehler ist im Dev UI Config Editor des Frameworks vorhanden und macht ihn unsicher zu Händen Drive-by-Localhost-Angriffe, die zu RCE zur Folge haben könnten, schrieb Beeton in einem am 29. November veröffentlichten Blogbeitrag. und kann von einem böswilligen Darsteller ohne Privilegien durchgeführt werden”, bemerkte er in dem Gebühr.

Beeton entdeckte die Schwachstelle vor einigen Wochen, denn er verdongeln Vortrag zu Händen die kürzlich abgehaltene DeepSec-Kongress vorbereitete, sagte nichtsdestoweniger, dass er mit welcher Offenlegung seiner Ergebnisse gewartet habe, solange bis Red Hat am 21. November Finessen darüber hinaus die Schwachstelle aufwärts seinem Kundensupport-Tunnelportal veröffentlicht hatte. Beeton veröffentlichte gleichermaßen verdongeln Demonstration des Kurs-Exploits zu Händen CVE-2022-4116 in seinem Gebühr.

Gepatchte Versionen von Quarkus, die jetzt verfügbar sind, sind 2.14.2.Final und 2.13.5.Final (LTS); Jeder, welcher dasjenige Framework verwendet, wird ermutigt, es sofort zu updaten.

„Gefährliche“ Sicherheitslücke

Die Schwachstelle betrifft laut Red Hat dasjenige Päckchen „quarkus_dev_ui“, welches bedeutet, dass Entwickler betroffen sind, die Dienste mit Quarkus erstellen, nicht die eigentlichen Dienste, die in welcher Produktion laufen.

Es ist jedoch mehrgründig immer noch gefährlich – zum verdongeln, weil es ziemlich simpel auszunutzen ist, und zum anderen, weil Entwickler oft direkten Zugriff aufwärts die Produktionsumgebung eines Unternehmens nach sich ziehen, sagt Beeton im Gegensatz zu Dark Reading.

„Entwickler nach sich ziehen im Allgemeinen Zugriff aufwärts Produktionssysteme, und sogar wenn sie dies nicht tun, nach sich ziehen sie die Möglichkeit, Codeänderungen vorzunehmen“, sagt er. „Dieser Computer eines kompromittierten Entwicklers könnte genutzt werden, um böswillige Codeänderungen in die Produktion zu veräußern.“

Wenn etwa ein Entwickler, welcher Quarkus ausführt, lokal eine Website mit bösartigem JavaScript besucht, kann dieses JavaScript unbemerkt Identifikationsnummer aufwärts dem Computer des Entwicklers verwirklichen, welches zu allen Arten von Problemen in jedem Netzwerk oder daran angeschlossenen Assets zur Folge haben kann.

In Cloud-basierten Unternehmensumgebungen zu tun sein Entwickler oft gleichermaßen Basen, Amazon Web Services-Schlüssel, Server-Anmeldeinformationen und andere Assets implementieren, sagte Beeton in seinem Gebühr.

„Dieser Zugriff aufwärts die Maschine des Entwicklers gibt einem Angreifer viel Spielraum, um zu anderen Ressourcen im Netzwerk zu wechseln und die Codebasis zu modifizieren oder regelrecht zu stehlen“, schrieb er.

Dieser Fehler im Cloud-Sicherheitskontext

Dieser Fehler muss im Zusammenhang mit Cloud-basierten Fußabdrücken verstanden werden, zusammen mit denen zahlreiche gehostete Dienste in einer größeren Umgebung umgesetzt werden, erklärte Beeton. Ein Missverständnis darüber hinaus sie Weise von Baukunst ist, dass „Dienste, die nur an localhost gebunden sind, von welcher Außenwelt nicht zugänglich sind“, bemerkte er in seinem Gebühr.

„Aufgrund dieses falschen Glaubens werden Entwickler welcher Schnörkellosigkeit halber von ihnen entwickelte Dienste verwirklichen, die weniger sicher konfiguriert sind denn sie es tun würden [typically] tun“, schrieb er.

Es gibt keine Frage mit diesem Szenario, wenn in einem Browser aufwärts normales JavaScript zugegriffen und von einer nicht böswilligen Schulfach geladen wird, sagte er. In diesem Kernpunkt wäre dasjenige JavaScript nicht in welcher Position, Anfragen an andere Domänen, einschließlich localhost, ohne eine Preflight-Antrag zu stellen, die verwendet wird, um die Cross-Origin Resource Sharing (CORS)-Einstellungen des Servers zu nachschauen. Dies ist eine Standardprüfung, um festzustellen, ob welcher Server Anfragen von welcher Schulfach zulässt, aufwärts die zugegriffen wird.

Im Kernpunkt einer bestimmten Weise von Antrag, die keine Preflight-Antrag erfordert – sogenannte einfache Anfragen – kommt welcher Fehler jedoch ins Spiel, sagte Beeton.

„Für einer einfachen Antrag stellt welcher Browser die Antrag und erhält die Auflösung, nichtsdestoweniger sie Information – einschließlich des Hypertext Transfer Protocol-Statuscodes – werden nicht an JavaScript zurückgegeben“, schrieb er. „Es ist jedoch möglich, über welcher Dauer welcher Rückgabe zu schlussfolgern, ob die Antrag siegreich war. Intrinsisch dieser Einschränkungen ist es möglich, aufwärts localhost zuzugreifen und unter bestimmten Umständen die Erläuterung willkürlichen Codes auszulösen.“

Entwickler können aufwärts mehrere Arten angesprochen werden

Wenn dies welcher Kernpunkt ist, können Bedrohungsakteure Websites kompromittieren, die von Entwicklern verwendet werden, während sie schädliches JavaScript in Bezeichnen einfügen, die aufwärts den Websites bereitgestellt werden. Damit ein Überfall aufwärts die Quarkus-Lücke in diesem Szenario siegreich ist, müsste Leckermaul, welcher Quarkus im Entwicklermodus ausführt, eine Website kommen, die dasjenige bösartige JavaScript enthält, sagte Beeton.

Hinaus sie Weise können Angreifer darüber hinaus nicht vorab überprüfte Hypertext Transfer Protocol-Anfragen an die an localhost gebundenen Dienste aufwärts Entwicklercode zupacken, erklärte er.

„Es erfordert lediglich, dass Quarkus an welcher gleichen Stelle im Entwicklermodus läuft, an welcher welcher Browser-Tab geöffnet ist“, bemerkte er. “Es ist keine weitere Wechselwirkung erforderlich, um sie Schwachstelle auszunutzen.”

Angreifer können den Fehler gleichermaßen ausnutzen, während sie verdongeln Phishing-Überfall starten, welcher verdongeln Entwickler dazu verleitet, verdongeln Webbrowser aufwärts einer kompromittierten Seite zu öffnen. „Wenn sie Quarkus im Entwicklermodus verwirklichen, würde eine Kompromittierung sie lediglich dazu mitbringen, aufwärts den Link zu klicken; die Seite mit schädlichem JavaScript wird dann geladen, und sie wären kompromittiert“, erklärte Beeton.

Andere Wege, wie welcher Fehler ausgenutzt werden kann, sind häufige Fehlkonfigurationen im Spring-Framework, dasjenige ein umfassendes Programmier- und Konfigurationsmodell zu Händen moderne Java-basierte Unternehmensanwendungen bietet, sagte er. Originell kann ein Angreifer bekannte Sicherheitslücken ausnutzen, um ein RCE aufwärts dem Computer des Entwicklers oder aufwärts anderen Diensten in seinem privaten Netzwerk zu generieren.

Mögliche Auswirkungen und Beseitigung

Es gibt zwei gute News zum Status des Fehlers, räumte Beeton ein. Einer davon ist, dass dasjenige Quarkus-Team von Red Hat, wie schon erwähnt, schon verdongeln Hurtig hrsg. hat, welcher von welcher Dev-Benutzeroberfläche verlangt, Origin-Header aufwärts „origin : localhost“ zu prüfen – welches vom Browser selbst festgesetzt wird und nicht durch JavaScript geändert werden kann – und nur sie zu goutieren Anfragen, sagte er.

Dieser andere beruhigende latente Größe ist, dass Quarkus ein junges Framework ist, dasjenige 2019 eingeführt wurde, sodass es wahrscheinlich nicht so umfassend genutzt wird wie etwa dasjenige Open-Source-Framework Spring Schiff, sagte er.

Und obwohl Quarkus an Popularität gewinnt, insbesondere zusammen mit Kubernetes-Enthusiasten, „aufgrund seiner Benutzerfreundlichkeit und welcher offensichtlich geringeren Nachfrage nachdem Hardwareressourcen zum Herüberbringen und Herüberbringen von Anwendungen“, ist es immer noch nicht so weit verbreitet wie Kubernetes selbst, sagte Beeton.

„Von dort ist die Zahl welcher Entwickler, die von diesem Drive-by-Localhost-Überfall betroffen sind, wahrscheinlich sehr klein“, sagte er.

Zerquetschen des Angriffsvektors

Sogar wenn welcher Quarkus-Fehler behoben ist, sollten Entwickler, die Open-Source-Frameworks verwenden, immer noch vorsichtig sein, wenn sie Dienste darüber hinaus den Localhost prosperieren, da es wahrscheinlich noch mehr Schwachstellen gibt, die CVE-2022-4116 nachkommen und noch gefunden werden zu tun sein, warnte Beeton.

Eine Störungsbehebung zu Händen den gesamten Angriffsvektor zeichnet sich mit welcher neuen Private Network Access (PNA)-Spezifikation des W3C ab, die schließlich in Browser integriert wird, um sie Weise welcher Auswertung insgesamt zu unterdrücken, sagte er.

Derzeit arbeite jedoch nur dasjenige Team, dasjenige dasjenige Chromium-Framework – die Lager zu Händen die Browser Chrome und Edge – unterstützt, quirlig an welcher Implementierung welcher neuen Spezifikation, sagte Beeton. Tatsächlich sollte die zu Händen Mittelpunkt Monat der Wintersonnenwende geplante Veröffentlichung von Chrome 109 Unterstützung zu Händen PNA einbeziehen.

Firefox hat inzwischen PNA-Unterstützung im Rückstau, hat nichtsdestoweniger noch kein Veröffentlichungsdatum geplant, während Pläne, die Spezifikation zu Safari oder Edge hinzuzufügen, unklar bleiben, obwohl dasjenige Chromium-Update ein gutes Zeichen zu Händen seine bevorstehende Hinzufügung in Edge sein könnte, fügte er hinzu.

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top