O vulnerabilitate în scannerul de vulnerabilități open-source Nuclei ar fi putut permite atacatorilor să bypass-eze verificarea semnăturii în timp ce introduc cod malicios în template-uri care sunt executate pe sistemele locale.
Nuclei este un scanner de vulnerabilități open-source popular creat de ProjectDiscovery care scanează site-urile web în căutare de vulnerabilități și alte slăbiciuni.
Proiectul utilizează un sistem de scanare bazat pe template-uri de peste 10.000 de template-uri YAML care scanează site-urile web în căutare de vulnerabilități cunoscute, configurații greșite, fișiere de configurare expuse, shell-uri web și backdoor-uri.
Template-urile YAML includ, de asemenea, un protocol de cod care poate fi folosit pentru a executa comenzi sau scripturi local pe un dispozitiv, extinzând astfel funcționalitatea unui template.
Fiecare template este „semnat” cu un hash digest pe care Nuclei-l folosește pentru a verifica că template-ul nu a fost modificat pentru a include cod malicios.
A fost descoperită o nouă vulnerabilitate Nuclei urmărită ca CVE-2024-43405 de către cercetătorii de la Wiz, care bypass-ează verificarea semnăturii Nuclei chiar dacă un template este modificat pentru a include cod malicios.
Defectul este cauzat de o verificare a semnăturii bazată pe regex Go și modul în care parser-ul YAML gestionează întreruperile de linie la verificarea semnăturii.
Atunci când verifică o semnătură, logica de verificare a lui Go tratează \r ca parte a aceleiași linii. Cu toate acestea, parser-ul YAML îl interpretează ca o întrerupere de linie. Această discrepanță permite atacatorilor să injecteze conținut malicios care bypass-ează verificarea, dar este totuși executat atunci când este procesat de parser-ul YAML.
O altă problemă este modul în care Nuclei gestionează multiplele linii # digest: semnătură, deoarece procesul verifică doar prima apariție a lui # digest: într-un template, ignorând orice altele găsite mai târziu în template.
Aceasta poate fi exploatată prin adăugarea de sarcini malitioase suplimentare „# digest:” după digestul valid inițial care conține o secțiune „cod” malitioasă, care este apoi injectată și executată atunci când template-ul este utilizat.
„Dotat cu informații despre interpretările greșite ale întreruperilor de linie, am creat un template care exploatează discrepanța dintre implementarea regex Go și parser-ul YAML,” explică cercetătorul Wiz, Guy Goldenberg.
„Prin utilizarea \r ca întrerupere de linie, putem include o a doua linie „# digest:” în template care evită procesul de verificare a semnăturii, dar este analizată și executată de interpretul YAML.”
Wiz a divulgat responsabil defectul către ProjectDiscovery la 14 august 2024, și a fost remediat în Nuclei v3.3.2 la 4 septembrie.
Dacă utilizați versiuni mai vechi ale Nuclei, se recomandă insistent actualizarea la cea mai recentă versiune acum că detaliile tehnice pentru această problemă au fost făcute publice.
Goldenberg recomandă, de asemenea, ca Nuclei să fie utilizat într-o mașină virtuală sau într-un mediu izolat pentru a preveni exploatarea potențială din template-uri malitioase.
Hackerii exploatează o vulnerabilitate a routerului Four-Faith pentru a deschide shell-uri inverse
Hackerii exploatează o vulnerabilitate DoS pentru a dezactiva firewall-urile Palo Alto Networks
Apache avertizează asupra unor vulnerabilități critice în MINA, HugeGraph, Traffic Control
Apache rezolvă o scăpare de execuție de cod la distanță în serverul web Tomcat
Sophos dezvăluie o vulnerabilitate critică de execuție de cod la distanță în firewall
Leave a Reply