Uma vulnerabilidade de dia zero de alta gravidade foi descoberta na versão Red Hat do Quarkus, uma estrutura Java nativa de kubernetes full-stack otimizada para máquinas virtuais Java (JVMs) e compilação nativa. Rastreada como CVE-2022-4116, a falha tem
escore de 9.8 no sistema de pontuação comum de vulnerabilidades (CVSS v3) e pode ser encontrada no Dev UI Config Editor, que é vulnerável a ataques de host local, levando potencialmente à execução remota de código (RCE).
De acordo com Joseph Beeton, pesquisador sênior de segurança de aplicativos da Contrast Security, explorar a vulnerabilidade é relativamente simples e pode ser feito por um operador de ameaça sem nenhum privilégio. “Enquanto preparava uma palestra para a recente conferência DeepSec sobre como atacar o ambiente do desenvolvedor por meio de drive-by local host, revi alguns frameworks Java populares para ver se eles eram vulneráveis”, escreveu Beeton, em um comunicado publicado na terça-feira, 29.
Segundo o pesquisador, o CVE-2022-4116 não afeta os serviços executados na produção, afeta apenas os desenvolvedores que criam serviços usando o Quarkus. “Se um desenvolvedor executando o Quarkus visita um site com JavaScript malicioso, esse JavaScript pode executar código silenciosamente no desenvolvedor máquina.”
Como parte de seu teste, Beeton criou uma carga útil que abre a calculadora do sistema. No entanto, o especialista em segurança alertou que o código silencioso poderia potencialmente realizar ações mais prejudiciais. Isso pode incluir a instalação de um keylogger na máquina local para capturar informações de login para sistemas de produção ou usar tokens do GitHub para modificar o código-fonte.
Veja isso
Red Hat, Debian e CentOS na mira do DarkRadiation
IBM compra Red Hat por US$ 34 bilhões
“Não temos certeza de quão amplamente a compilação Red Hat do Quarkus é usada. Tendo sido iniciada apenas em 2019, a estrutura do Quarkus ainda é jovem e a estrutura do Spring Boot é considerada muito mais popular”, acrescentou Beeton, abordando o escopo potencial da vulnerabilidade. Mas ele chama atenção para o fato de o Quarkus estar se tornando mais popular, principalmente em casos de uso de kubernetes, devido à sua facilidade de uso e demanda significativamente mais leve de recursos de hardware para executar e executar aplicativos.
A equipe do Quarkus lançou uma correção para o CVE-2022-4116 com versão 2.14.2.Final e 2.13.5.Final LTS (suporte de longo prazo) que exige que a interface do usuário do desenvolvedor verifique o cabeçalho de origem para que ele aceite apenas solicitações que contêm um cabeçalho específico definido pelo navegador e não modificável pelo JavaScript.
Mas o especialista em segurança diz que, embora o CVE-2022-4116 tenha sido corrigido, provavelmente há muito mais vulnerabilidades equivalentes em outras estruturas. Felizmente, Beeton, há uma solução no horizonte que deve bloquear esse vetor de ataque sem encontrar e corrigir cada estrutura vulnerável: o novo acesso à rede privada do W3C especificação.
