VULNERABILIDADES CRÍTICAS EM EDITORES DE TEXTOS USADOS PELOS DESENVOLVEDORES

É uma prática usual os programadores utilizarem repositórios de partes- funções de programas para escrever as várias partes do sistema em produção.

Entretanto, se precisa ter cuidado pois vulnerabilidades de segurança, ou mesmo backdoors infiltrados,  no editor de texto online podem permitir que invasores comprometam remotamente o servidor da vítima e roubem informações confidenciais, revela uma nova pesquisa.

Uma falha de script entre sites (XSS) permitiu que os invasores criassem um documento compartilhado malicioso, ou ?pad?, que executa código controlado pelo invasor no navegador da vítima, permitindo que os invasores leiam, criem ou modifiquem dados

Uma segunda vulnerabilidade, um bug de injeção de argumento, permitia que invasores com acesso administrativo executassem código arbitrário no servidor instalando plug-ins de um URL que está sob seu controle.

Ambas as vulnerabilidades (CVE-2021-34817 e CVE-2021-34816), que foram classificadas como "críticas", podem ser combinadas por invasores para comprometer um servidor remotamente.

A vulnerabilidade XSS foi corrigida no Etherpad versão 1.8.14. A vulnerabilidade de injeção de argumento ainda está aparentemente sem correção, mas os pesquisadores que descobriram a falha disseram que é "significativamente mais difícil" de explorar por conta própria.

Problema em dobro?

Os problemas de segurança foram descobertos por Paul Gerste, pesquisador de vulnerabilidades da SonarSource, um desenvolvedor de ferramentas DevSecOps com sede na Suíça.

Uma postagem no blog divulgada na 13 de julho afirma que o Etherpad tem mais 250 plug-ins disponíveis e apresenta um histórico de versão, bem como uma funcionalidade de bate-papo.

É particularmente popular na comunidade de código aberto e foi marcado mais de 10.000 vezes pelos usuários.

Gerste disse ao The Daily Swig que, embora as vulnerabilidades sejam sérias quando acorrentadas, há limitações para sua exploração.

?As instâncias com configuração padrão são vulneráveis?, disse Gerste. ?O invasor precisa ser capaz de importar um pad, portanto, se a instância do Etherpad estiver acessível publicamente e a criação do pad não for restrita, então ela está vulnerável.?

Ele acrescentou: ?Os invasores que já têm acesso a um pad podem elevar seus privilégios mirando em outros usuários?.

Com relação à vulnerabilidade de injeção de argumento, isso só pode ser explorado se houver uma conta de administrador, o que não é o caso em uma configuração padrão.

Portanto, um invasor pode abusar da vulnerabilidade se comprometer a conta de um administrador - o que pode ser obtido por meio da exploração da vulnerabilidade XSS ?ou por outros meios?.

Um remendo

Gerste disse que os mantenedores do projeto foram rápidos em responder ao seu relatório e ?levaram o assunto a sério?, embora eles tenham corrigido apenas um dos problemas até agora.

?A correção para a vulnerabilidade XSS foi corrigida dois dias depois?, explicou ele.

?A injeção de argumento não foi facilmente corrigida devido à forma como o sistema de plug-ins do Etherpad funciona.

?Uma vez que as pessoas podem publicar plug-ins via NPM, os invasores sempre podem encontrar uma maneira de introduzir código malicioso, então os administradores devem sempre ter cuidado com os plug-ins que instalam.?