Bug yang Baru Ditemukan di Ekstensi VSCode Dapat Menyebabkan Serangan Rantai Pasokan

  • Whatsapp
Bug yang Baru Ditemukan di Ekstensi VSCode Dapat Menyebabkan Serangan Rantai Pasokan

Kelemahan keamanan parah yang ditemukan dalam ekstensi Visual Studio Code yang populer dapat memungkinkan penyerang untuk berkompromi dengan mesin lokal serta membangun dan menerapkan sistem melalui lingkungan pengembangan terintegrasi (IDE) pengembang.

Ekstensi yang rentan dapat dieksploitasi untuk menjalankan kode arbitrer pada sistem pengembang dari jarak jauh, yang pada akhirnya dapat membuka jalan bagi serangan rantai pasokan.

Bacaan Lainnya

Beberapa ekstensi yang dimaksud adalah “LaTeX Workshop,” “Rainbow Fart,” “Open in Default Browser,” dan “Instant Markdown,” yang semuanya secara kumulatif mengumpulkan sekitar dua juta instalasi di antara mereka.

“Mesin pengembang biasanya memiliki kredensial yang signifikan, memungkinkan mereka (langsung atau tidak langsung) berinteraksi dengan banyak bagian produk,” peneliti dari platform keamanan open-source Synk kata dalam penyelaman mendalam yang diterbitkan pada 26 Mei. “Membocorkan kunci pribadi pengembang dapat memungkinkan pemangku kepentingan jahat untuk mengkloning bagian penting dari basis kode atau bahkan terhubung ke server produksi.”

auditor kata sandi

Ekstensi Kode VS, seperti add-on browser, memungkinkan pengembang untuk menambah editor kode sumber Visual Studio Code Microsoft dengan fitur tambahan seperti bahasa pemrograman dan debugger yang relevan dengan alur kerja pengembangan mereka. VS Code digunakan oleh 14 juta pengguna aktif, menjadikannya permukaan serangan yang sangat besar.

Skenario serangan yang dirancang oleh bank Synk pada kemungkinan bahwa ekstensi yang diinstal dapat disalahgunakan sebagai vektor untuk serangan rantai pasokan dengan memanfaatkan kelemahan dalam plugin untuk masuk ke sistem pengembang secara efektif. Untuk itu, para peneliti memeriksa ekstensi VS Code yang memiliki implementasi rentan dari server web lokal.

Dalam satu kasus yang disoroti oleh peneliti Synk, kerentanan jalur traversal yang diidentifikasi dalam Penurunan Harga Instan dapat dimanfaatkan oleh aktor jahat dengan akses ke server web lokal (alias localhost) untuk mengambil file apa pun yang dihosting di mesin hanya dengan mengelabui pengembang agar mengklik URL berbahaya.

Sebagai demonstrasi proof-of-concept (PoC), para peneliti menunjukkan kemungkinan untuk mengeksploitasi kelemahan ini untuk mencuri kunci SSH dari pengembang yang menjalankan VS Code dan memiliki Instant Markdown atau Open in Default Browser yang diinstal di IDE. Lokakarya LaTeX, di sisi lain, ditemukan rentan terhadap kerentanan injeksi perintah karena input yang tidak bersih yang dapat dieksploitasi untuk menjalankan muatan berbahaya.

Terakhir, ekstensi bernama Rainbow Fart dipastikan memiliki kerentanan zip slip, yang memungkinkan musuh untuk menimpa file arbitrer pada mesin korban dan mendapatkan eksekusi kode jarak jauh. Dalam serangan yang dirumuskan oleh para peneliti, file ZIP yang dibuat khusus dikirim melalui titik akhir “import-voice-package” yang digunakan oleh plugin dan ditulis ke lokasi yang berada di luar direktori kerja ekstensi.

“Serangan ini dapat digunakan untuk menimpa file seperti ‘.bashrc’ dan akhirnya mendapatkan eksekusi kode jarak jauh,” catat para peneliti.

Meskipun kelemahan dalam ekstensi telah diatasi, temuan ini penting mengingat serangkaian insiden keamanan yang menunjukkan bagaimana pengembang muncul sebagai target serangan yang menguntungkan, dengan pelaku ancaman yang melepaskan berbagai malware untuk membahayakan alat dan lingkungan pengembangan. untuk kampanye lainnya.

“Apa yang telah jelas untuk dependensi pihak ketiga sekarang juga jelas untuk plugin IDE – mereka memperkenalkan risiko yang melekat pada aplikasi,” kata peneliti Synk Raul Onitza-Klugman dan Kirill Efimov. “Mereka berpotensi berbahaya baik karena potongan kode tertulis khusus mereka dan dependensi yang mereka buat. Apa yang telah ditampilkan di sini untuk VS Code mungkin juga berlaku untuk IDE lain, yang berarti menginstal ekstensi atau plugin secara membabi buta tidak aman ( belum pernah).”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *