Dans les coulisses, le projet de plate-forme ouverte de Spotify pour la création de portails de développeurs présentait une vulnérabilité de haute gravité qui permettait aux acteurs potentiels de la menace d'exécuter à distance du code non authentifié dans le projet. La faille a été découverte par les fournisseurs de sécurité des applications natives du cloud Oxeye, puis corrigée par Spotify.
Il est recommandé aux utilisateurs de mettre à jour Backstage vers la version 1.5.1, ce qui résout le problème.
Expliquant comment ils ont découvert la vulnérabilité, les chercheurs d'Oxeye ont déclaré avoir exploité un contournement de bac à sable VM via la bibliothèque tierce vm2, leur permettant d'exécuter du code à distance non authentifié.
Attaques basées sur des modèles
"En exploitant un contournement du bac à sable vm2 dans le plugin principal Scaffolder, qui est utilisé par défaut, les pirates non authentifiés ont la possibilité d'exécuter des commandes système arbitraires dans une application Backstage", a déclaré Yuval Ostrovsky, architecte logiciel chez Oxeye. "Les vulnérabilités critiques dans les applications cloud natives comme celle-ci sont de plus en plus répandues et il est essentiel que ces problèmes soient résolus sans délai."
"Ce qui a attiré notre attention dans ce cas, ce sont les modèles du logiciel Backstage et le potentiel d'attaques basées sur des modèles", a déclaré Daniel Abeles, responsable de la recherche chez Oxeye. "En cherchant à atténuer ce risque, nous avons remarqué que le moteur de modèle pouvait être manipulé pour exécuter des commandes shell à l'aide de modèles contrôlés par l'utilisateur avec Nunjucks en dehors d'un environnement sandbox.
L'objectif de Backstage est d'optimiser l'environnement de développement en unifiant tous les outils, services et documentation de l'infrastructure. Selon Oxeye, il compte plus de 19 000 étoiles sur GitHub, ce qui en fait l'une des plateformes open source les plus populaires pour la création de portails de développeurs. Spotify, American Airlines, Netflix, Splunk, Fidelity Investments, Epic Games et Palo Alto Networks ne sont que quelques-unes des entreprises qui utilisent Backstage.
Expliquant le problème et les solutions possibles plus en détail, les chercheurs ont déclaré que la racine d'un échappement de machine virtuelle basé sur un modèle était en mesure d'obtenir des droits d'exécution JavaScript sur le modèle. Il a été expliqué que les moteurs de template sans logique comme Moustache empêchent l'introduction de l'injection de template côté serveur, éliminant ainsi le problème.
« Si vous utilisez un moteur de template dans une application, assurez-vous de choisir le bon en termes de sécurité. Les moteurs de modèles robustes sont extrêmement utiles, mais ils peuvent présenter un risque pour l'organisation », a déclaré Gal Goldshtein, chercheur principal en sécurité chez Oxeye. "Si vous utilisez Backstage, nous vous recommandons vivement de mettre à jour la dernière version pour vous défendre contre cette vulnérabilité dès que possible."
