esenfrdeitptru

Vulnerabilidad de día cero descubierta en el popular framework de Java Quarkus en Red Hat

AS-092-2022

Fecha: 01/Dic/2022

Notificado por: Correo-CTI-FIRST

Resumen:

Red Hat ha publicado parches para un error en un software de máquina virtual Java de código abierto que abre la puerta a ataques de host local no autorizados.  Joseph Beeton, investigador principal de seguridad de aplicaciones en Contrast Security, quien descubrió la vulnerabilidad en Quarkus, un marco Java nativo de Kubernetes administrado por Red Hat que está optimizado para JVM.

Incluso con la falla de Quarkus reparada, los desarrolladores que usan marcos de código abierto aún deben tener cuidado al desarrollar servicios a través del host local, ya que es probable que haya más vulnerabilidades equivalentes a CVE-2022-4116 que aún no se han encontrado, advirtió Beeton.

Detalles de la vulnerabilidad:

La vulnerabilidad ha sido calificada con 9.8 en el puntaje base de CVSS v3. La vulnerabilidad se encuentra en Dev UI Config Editor, que es vulnerable a ataques drive-by localhost que podrían conducir a la ejecución remota de código (RCE) . Explotar la vulnerabilidad no es difícil y puede hacerlo un actor malicioso sin ningún privilegio.

Según los hallazgos preliminares de Red Hat, la vulnerabilidad afecta al paquete quarkus_dev_ui. Para ser claros, CVE-2022-4116 no afecta los servicios que se ejecutan en producción; solo afecta a los desarrolladores que construyen servicios usando Quarkus. Si un desarrollador que ejecuta Quarkus localmente visita un sitio web con JavaScript malicioso, ese JavaScript puede ejecutar código silenciosamente, en la máquina del desarrollador.

Como los desarrolladores tienen acceso de escritura a las bases de código, las claves de AWS, las credenciales del servidor, etc., el acceso a la máquina del desarrollador le da al atacante un gran margen para pasar a otros recursos en la red, así como para modificar o robar. la base de código. No estamos seguros de cuán extensivamente se usa la compilación Red Hat de Quarkus. Habiendo comenzado solo en 2019, el marco Quarkus aún es joven, y se dice que el marco Spring Boot es mucho más popular.

Pero vale la pena señalar que, según los informes , Quarkus se está volviendo más popular, particularmente en los casos de uso de Kubernetes, dada su facilidad de uso y su demanda significativamente menor de recursos de hardware para ejecutar aplicaciones.

Aún así, probablemente sea seguro asumir que el uso de Quarkus no es extenso, considerando que se enfoca en el uso de Kubernetes. Si bien muchos desarrolladores usan Kubernetes, no todos usan Quarkus. Por lo tanto, la cantidad de desarrolladores afectados por este ataque localhost es probablemente pequeña.

Este ataque requiere que alguien que esté ejecutando Quarkus en modo de desarrollador vaya a un sitio web que contenga el JavaScript malicioso, ya que el JavaScript se puede ejecutar al cargar la página, intentando continuamente acceder al servidor local o ambos.

Recomendación:

La solución implementada por el equipo de Quarkus para CVE-2022-4116 , que se encuentra en las versiones 2.14.2.Final y 2.13.5.Final (LTS), requiere que la IU de desarrollo verifique el encabezado de origen para que solo acepte solicitudes que contengan un encabezado de origen: servidor local

Este encabezado lo establece el propio navegador y no se puede modificar mediante la ejecución de JavaScript en el navegador. JavaScript cargado desde el sitio web example.com tendría un encabezado de origen de: origen: ejemplo.com

Se recomienda a los desarrolladores que utilizan la compilación Red Hat afectada de Quarkus que actualicen a la versión corregida lo antes posible.

Referencias:

https://www.contrastsecurity.com/security-influencers/localhost-attack-against-quarkus-developers-contrast-security
https://access.redhat.com/security/cve/CVE-2022-4116
https://www.darkreading.com/application-security/critical-quarkus-flaw-threatens-cloud-developers-easy-rce