Entre bastidores, el proyecto de plataforma abierta de Spotify para construir portales de desarrolladores tenía una vulnerabilidad de alta gravedad que permitía a los posibles actores de amenazas ejecutar de forma remota código no autenticado en el proyecto. La falla fue descubierta por los proveedores de seguridad de aplicaciones nativas de la nube, Oxeye, y posteriormente fue reparada por Spotify.
Se insta a los usuarios a actualizar Backstage a la versión 1.5.1, que soluciona el problema.
Al explicar cómo descubrieron la vulnerabilidad, los investigadores de Oxeye dijeron que explotaron un escape de sandbox de VM a través de la biblioteca de terceros en vm2, lo que resultó en la capacidad de realizar una ejecución remota de código no autenticado.
Ataques basados en plantillas
“Al explotar un escape de sandbox vm2 en el complemento principal de Scaffolder, que se usa de forma predeterminada, los actores de amenazas no autenticados tienen la capacidad de ejecutar comandos arbitrarios del sistema en una aplicación Backstage”, dijo Yuval Ostrovsky, arquitecto de software de Oxeye. “Las vulnerabilidades críticas de las aplicaciones nativas de la nube como esta se están volviendo más generalizadas y es fundamental que estos problemas se aborden sin demora”.
«Lo que nos llamó la atención en este caso fueron las plantillas de software Backstage y el potencial de ataques basados en plantillas», dijo Daniel Abeles, jefe de investigación de Oxeye. «Al revisar cómo limitar este riesgo, notamos que el motor de plantillas podría manipularse». para ejecutar comandos de shell mediante el uso de plantillas controladas por el usuario con Nunjucks fuera de un entorno aislado”.
El objetivo de Backstage es agilizar el entorno de desarrollo al unificar todas las herramientas, servicios y documentación de la infraestructura. Según Oxeye, tiene más de 19 000 estrellas en GitHub, lo que la convierte en una de las plataformas de código abierto más populares para crear portales para desarrolladores. Spotify, American Airlines, Netflix, Splunk, Fidelity Investments, Epic Games y Palo Alto Networks son solo algunas de las empresas que utilizan Backstage.
Al explicar más el problema y los posibles remedios, los investigadores dijeron que la raíz de un escape de VM basado en plantilla pudo obtener derechos de ejecución de JavaScript dentro de la plantilla. Se explicó que los motores de plantillas sin lógica como Mustache evitan la introducción de la inyección de plantillas del lado del servidor, eliminando así el problema.
“Si usa un motor de plantillas en una aplicación, asegúrese de elegir el correcto en relación con la seguridad. Los motores de plantillas robustos son extremadamente útiles, pero pueden representar un riesgo para la organización”, dijo Gal Goldshtein, investigadora sénior de seguridad en Oxeye. «Si usa Backstage, le recomendamos encarecidamente que lo actualice a la última versión para defenderse de esta vulnerabilidad lo antes posible».