Tin An Ninh Mạng

Lỗ hổng suply-chain ảnh hưởng tới “Pling Store” trên Linux

hacker 9
Các nhà nghiên cứu vừa tiết lộ một lỗ hổng nghiêm trọng chưa được vá ảnh hưởng đến các chợ ứng dụng Pling dành cho nền tảng Linux, có khả năng bị lợi dụng để tấn công chuỗi cung ứng và thực thi mã từ xa (RCE).
Đồng sáng lập Positive Security Fabian Bräunlein cho biết: “Chợ ứng dụng Linux dựa trên nền tảng Pling có lỗi dễ dẫn đến khả năng tấn công chuỗi cung ứng”. Ứng dụng PlingStore gốc bị ảnh hưởng bởi lỗ hổng RCE, lỗ hổng này có thể được kích hoạt từ bất kỳ trang web nào khi đang chạy”.
Các cửa hàng ứng dụng dựa trên Pling bị ảnh hưởng bởi lỗ hổng bao gồm:
· appimagehub.com
· store.kde.org
· gnome-look.org
· xfce-look.org
· pling.com

{

}

linux-pling-store-jpg.9075

PlingStore cho phép người dùng tìm kiếm và cài đặt phần mềm, chủ đề, biểu tượng và các tiện ích bổ sung khác cho Linux không có trong danh sách phần mềm của nhà phân phối.
Lỗ hổng bắt nguồn từ việc xử lý trang danh sách sản phẩm HTM. Do đó hacker có khả năng đưa mã JavaScript độc nhằm thực thi mã tùy ý.
Bräunlein cho biết: “XSS được lưu trữ này có thể sử dụng để sửa đổi danh sách đang hoạt động hoặc đăng danh sách mới trên cửa hàng Pling”.
Rắc rối hơn, điều này có thể dẫn đến một cuộc tấn công chuỗi cung ứng, trong đó hacker có thể khai thác một payload JavaScript để tải lên các phiên bản phần mềm có chứa trojan và chỉnh sửa siêu dữ liệu danh sách của nạn nhân để tấn công.
“Do ứng dụng có thể cài đặt các ứng dụng khác, nên có một cơ chế tích hợp để thực thi mã ở cấp [hệ điều hành]. Cơ chế đó có thể bị khai thác bởi bất kỳ trang web nào để chạy mã gốc tùy ý khi ứng dụng PlingStore đang chạy nền”, Bräunlein giải thích
Nói cách khác, khi người dùng truy cập một trang web độc hại thông qua trình duyệt, XSS được kích hoạt bên trong ứng dụng Pling khi nó đang chạy ở chế độ nền. Mã JavaScript trong trang web không chỉ thiết lập kết nối với máy chủ WebSocket cục bộ vốn được sử dụng để nghe thông báo từ ứng dụng, mà còn sử dụng máy chủ này để gửi thông báo thực thi mã gốc tùy ý bằng cách tải xuống và thực thi tệp. AppImage.

Lỗ hổng đã được báo cáo ngày 24 /2, KDE Project và GNOME Security đã phát hành các bản vá cho lỗ hổng trên hệ thống của mình. Tuy nhiên, do lỗ hổng RCE liên quan đến PlingStore vẫn chưa được khắc phục, người dùng không nên chạy ứng dụng Electron cho đến khi có bản sửa lỗi.

Theo: The Hacker News

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !