Bug Eksekusi Kode Jarak Jauh Kritis Ditemukan di Repositori Python PyPI

  • Whatsapp
Bug Eksekusi Kode Jarak Jauh Kritis Ditemukan di Repositori Python PyPI
Bug Python PyPI

Meskipun PyPI memiliki folio keamanan, tetap saja, mereka tidak memiliki kebijakan transparan untuk penilaian kerentanan. Baru-baru ini, operator repositori resmi Python Package Index (PyPI) telah menghilangkan 8 perpustakaan yang berisi kode berbahaya.

Di sini, pengembang PyPI baru-baru ini memperbaiki 3 kerentanan paling parah, salah satunya memungkinkan aktor ancaman untuk mengambil kendali penuh atas portal.

Semua kerentanan ini diidentifikasi oleh analis keamanan siber Jepang yang terkenal, RyotaK. Dan dialah yang baru-baru ini juga melaporkan bug di Cloudflare CDNJS yang memungkinkan penyerang menjalankan kode berbahaya di semua situs web yang rentan.

Selain itu, analis, RyotaK menganalisis kode PyPI yang tersedia di GitHub dan dia mengidentifikasi bahwa jika ketiga kerentanan ini dieksploitasi oleh peretas maka mereka akan dapat melakukan hal-hal berikut:-

  • Hapus file dokumentasi dari proyek orang lain.
  • Hapus peran dalam proyek orang lain.
  • jalankan perintah bash di basis kode PyPI itu sendiri menggunakan GitHub Actions.

Berikut adalah daftar tiga kerentanan dan amplifikasi yang menentukan: –

Kerentanan dalam Penghapusan Dokumen Lama di PyPI

Peneliti keamanan terdeteksi kerentanan ini, dan kelemahan keamanan ini dapat dieksploitasi dalam mekanisme untuk menghapus alat penyebaran hosting dokumentasi lama di PyPI.

Cacat keamanan ini memungkinkan peretas untuk menghapus dokumentasi untuk proyek yang tidak berada di bawah kendali mereka. Sementara RyotaK mengungkapkan kelemahan keamanan ini pada 25-07-2020 melalui kebijakan keamanan di PyPI[.]org, dan sebagai hadiah hadiah, dia menerima $1000.

Sementara hanya dengan menambahkan garis miring ke nama proyek yang digunakan dengan “remove_by_prefix” di https://github.com/pypa/warehouse/pull/9839 melalui https://github.com/pypa/warehouse/pull/9839/commits/3afcac795619b0b06007d0fb179d3ca137ed43b7 kelemahan keamanan ini telah ditambal.

Kerentanan dalam Penghapusan Peran di PyPI

Peneliti keamanan terdeteksi kerentanan yang dapat dieksploitasi ini, dan kelemahan keamanan ini terdeteksi dalam mekanisme untuk menghapus peran di PyPI.

Kerentanan ini memungkinkan penyerang untuk menghapus atau menghapus semua peran untuk proyek yang tidak berada di bawah kendali mereka. Selain itu, RyotaK mengungkapkan kelemahan keamanan ini pada 26-07-2020 melalui kebijakan keamanan di PyPI[.]org, dan sebagai hadiah hadiah, dia menerima $1000.

Sementara hanya dengan menambahkan filter pada proyek saat ini ke kueri untuk peran di https://github.com/pypa/warehouse/pull/9845 melalui https://github.com/pypa/warehouse/pull/9845/commits/7605bee1e77319000f71f5b60959a35c8e482161 kelemahan keamanan ini telah ditambal.

Kerentanan dalam alur kerja Tindakan GitHub untuk PyPI

Dalam alur kerja Tindakan GitHub untuk repositori sumber PyPI, peneliti keamanan mendeteksi kerentanan parah yang dapat dieksploitasi ini.

Sementara kerentanan parah ini dapat memungkinkan aktor ancaman untuk mendapatkan izin menulis pada repositori pypa/warehouse. Selain itu, analis keamanan, RyotaK mengungkapkan kelemahan keamanan ini pada 27-07-2020 melalui kebijakan keamanan di PyPI[.]org, dan sebagai hadiah hadiah, dia menerima $1000.

Sementara hanya dengan mencocokkan dengan nama pengguna pembuat PR dan tidak menggunakan gema yang tidak perlu https://github.com/pypa/warehouse/pull/9846 melalui https://github.com/pypa/warehouse/pull/9846/commits/fb98c6bb4d68fb43944171214971f6c776f844ce dan https://github.com/pypa/warehouse/pull/ 9846/melakukan/50bd16422889d653127d373c9615516bf883a394 kelemahan keamanan ini telah ditambal.

Selain itu, kerentanan ketiga lebih kritis daripada yang lain, karena memungkinkan penyerang menjalankan perintah di infrastruktur PyPI untuk mengumpulkan token atau rahasia lain dari basis kode.

Dan tidak hanya itu nantinya pelaku ancaman juga bisa menggunakan ini untuk mengakses dan memodifikasi kode PyPI.

Namun, untuk menghargai pekerjaan peneliti keamanan, Ryotak, Yayasan Perangkat Lunak Python telah menghadiahinya $ 1.000 untuk setiap kerentanan yang ia deteksi dan laporkan.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk keamanan siber harian dan pembaruan berita peretasan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.