Backstage中發(fā)現RCE漏洞，CVSS得分9.8

據Oxeye透露，用于構建開發(fā)者門戶的舊版本開源Backstage軟件中發(fā)現了一個關鍵漏洞，未經身份驗證的遠程代碼執(zhí)行缺陷，允許攻擊者在公開的系統(tǒng)上運行命令。該漏洞的嚴重性評級為9.8(滿分10分)。

問題在于 vm2 沙箱逃逸問題，研究人員披露了這個問題，警告了特定JavaScript沙盒庫的廣泛部署。由于 Backstage 使用 vm2 庫，它也通過供應鏈受到漏洞的影響。

“未經身份驗證的威脅參與者可以通過利用 Scaffolder 核心插件中的vm2 沙箱逃逸在 Backstage 應用程序上執(zhí)行任意系統(tǒng)命令?！?/p>

2022 年 8 月 29 日發(fā)布的更新 (v 1.5.1) 解決了這個問題，建議所有系統(tǒng)管理員升級到上周發(fā)布的最新版本Backstage 1.7.2。

Backstage由云原生計算基金會(CNCF)接受成為孵化項目，目前已被美國航空公司(American Airlines)、Netflix、Splunk、富達投資(Fidelity Investments)、惠普公司、西門子、VMware、宜家以及Spotify等機構廣泛使用。

研究人員在Shodan中對Backstage favicon哈希進行了簡單的查詢，并發(fā)現了500多個暴露在互聯(lián)網上的Backstage實例。

該漏洞是潛在的基于模板的攻擊的另一個例子，通過該攻擊可以操縱運行 shell 命令以將惡意軟件注入應用程序開發(fā)環(huán)境。

一般來說，將邏輯與表示層盡可能地分離可以大大減少最危險的基于模板的攻擊。

安全專家表示，企業(yè)正將其漏洞研究重點放在原生云平臺上，如Backstage。這些平臺通常用于構建基于微服務架構的現代應用程序。目前還不清楚組織在多大程度上從更單一的方法來構建應用程序，但明顯的是，現在使用微服務構建應用程序的比例要大得多。

網絡犯罪分子正在將目標放在這些平臺上，進而為軟件供應鏈攻擊做準備，將其惡意軟件注入組織甚至其下游企業(yè)中的應用程序。因此，越來越多的企業(yè)采用DevSecOps，以更好地確保其軟件供應鏈的完整性。其中較為有難度的是，許多攻擊的目標是開源軟件項目，這些項目并不總是及時能獲得針對安全漏洞的補丁。

雖然不可能知道網絡犯罪分子已經在多大程度上利用DevOps平臺的漏洞，但在一系列備受矚目的網絡攻擊入侵事件發(fā)生后，網絡安全審查的水平急劇增加，軟件供應鏈安全越來越受到重視，從軟件開發(fā)起進行安全檢測,靜態(tài)測試、動態(tài)測試等逐漸成為網絡安全防御的又一必要手段。

來源：

https://devops.com/

https://www.bleepingcomputer.com/

https://securityaffairs.co/