278.000 kho lưu trữ GitHub bị ảnh hưởng bởi một lỗ hổng mạng nghiêm trọng trong Netmask

Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng mạng quan trọng CVE-2021-28918 trong mạng lưới thư viện npm phổ biến. Netmask thường được hàng nghìn ứng dụng sử dụng để phân tích địa chỉ IPv4 và khối CIDR hoặc so sánh chúng. 


Netmask thường nhận được hơn 3 triệu lượt tải xuống hàng tuần và tính đến ngày hôm nay, đã đạt được hơn 238 triệu lượt tải xuống hoàn chỉnh trong suốt vòng đời của nó. Ngoài ra, gần 278.000 kho lưu trữ GitHub phụ thuộc vào mặt nạ mạng. Do lỗ hổng xác thực đầu vào không đúng, netmask nhìn thấy một IP khác và lỗ hổng này có thể cho phép tin tặc thực hiện giả mạo yêu cầu phía máy chủ (SSRF) trong các ứng dụng cấp dưới.
 Các nhà nghiên cứu bảo mật Victor Viale, Sick Codes, Nick Sahler, Kelly Kaoudis và John Jackson chịu trách nhiệm theo dõi lỗ hổng trong thư viện netmask phổ biến. Lỗ hổng ban đầu được phát hiện khi các nhà nghiên cứu bảo mật bao gồm Codes đang thiết kế một bản vá cho một lỗ hổng SSRF riêng biệt và nghiêm trọng là CVE-2020-28360 trong gói downstream Private-IP, giúp ngăn chặn các địa chỉ IP cá nhân giao tiếp với tài nguyên nội bộ của ứng dụng .
Theo một cố vấn GitHub thì “nguyên nhân chính của vấn đề là do Netmask đánh giá không chính xác các octet IPv4 riêng lẻ có chứa các chuỗi bát phân dưới dạng số nguyên bị tước bỏ bên trái, dẫn đến bề mặt tấn công không theo thứ tự trên hàng trăm nghìn dự án dựa vào Netmask để lọc hoặc đánh giá phạm vi khối IPv4, cả đến và đi. “


Các nhà nghiên cứu bảo mật ban đầu đã phát hiện ra lỗ hổng này vào ngày 16 tháng 3 và khuyên các nhà phát triển node js kiểm tra các dự án của họ để sử dụng Netmask và nâng cấp ngay lập tức nếu họ xác định được gói đang được sử dụng. Sick Codes cho biết rằng 30 tỷ gói nodejs được tải xuống vào tuần trước chủ yếu được cài đặt bằng các đường ống CI / CD tự động và không có kiểm tra thời gian chạy thủ công.
Olivier Poitrey, nhà phát triển netmask và giám đốc kỹ thuật tại Netflix, đã phát hành một loạt bản vá [1,2,3] lỗi này cho GitHub, chứa các trường hợp thử nghiệm xác thực rằng các bát phân IPv4 với 0 tiền tố được coi là số bát phân chứ không phải số thập phân. Đầu tháng này, thành phần Perl Net :: Netmask cũng bị lỗi này.

eHackingNews / Đào Tạo Hacker Thiện Chí & Chuyên Gia Bảo Mật Thông Tin

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s