03.10.2023 | OpenRefine и импорт вредоносного кода: работа с данными может привести к компрометации |
На днях была публично раскрыта критическая уязвимость в открытом инструменте для очистки и преобразования данных OpenRefine . Недостаток безопасности может привести к произвольному выполнению кода на затронутых системах. OpenRefine — это бесплатное программное средство с открытым исходным кодом, предназначенное для структуризации данных. Главной особенностью OpenRefine является возможность автоматического выявления и устранения ошибок в данных, а также создания согласованных наборов данных. Уязвимость, обозначенная как CVE-2023-37476 (CVSS 7.8), представляет собой так называемую «Zip Slip» уязвимость и может оказать неблагоприятное воздействие при импорте специально созданного проекта в версиях OpenRefine 3.7.3 и ниже. «Хотя OpenRefine предназначен только для локального запуска на компьютере пользователя, злоумышленники могут обмануть пользователя и заставить его импортировать вредоносный файл проекта», — заявил исследователь безопасности из SonarSource , Стефан Шиллер. После импорта этого файла хакеры смогут выполнять произвольный код на машине пользователя. Программное обеспечение, подверженное уязвимостям Zip Slip, может проложить путь к выполнению кода, воспользовавшись ошибкой обхода каталога, которую злоумышленники затем в состоянии использовать для получения доступа к тем частям файловой системы, которые в ином случае должны быть недоступны. Суть атаки заключается в том, что извлекаемый код не проходит должной проверки, что может позволить перезаписывать файлы или распаковывать их в непредназначенные места. Описанная уязвимость в OpenRefine работает с использованием метода «untar» и позволяет записывать файлы вне целевой папки, создав архив с именем файла «../../../../tmp/pwned.» Также было отмечено, что уязвимость может использоваться для добавления нового пользователя в файл «passwd», добавления SSH -ключа, создания задания «cron» и многого другого. После ответственного раскрытия 7 июля 2023 года уязвимость была исправлена в версии 3.7.4, выпущенной 17 июля 2023 года. Примечательно, что раскрытие уязвимости в OpenRefine произошло практически одновременно с появлением PoC -кода для пары уже устранённых уязвимостей в Microsoft SharePoint и опасного бага в Apache NiFi , который допускает удалённое выполнение кода через вредоносные строки подключения к базе данных H2. Пользователям подобного софта рекомендуется регулярно проводить аудиты безопасности, своевременно обновлять программное обеспечение и устранять любые выявленные уязвимости. |
Проверить безопасность сайта