Уязвимость в NPM-пакете node-netmask, применяемом в 270 тысячах проектах
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В NPM-пакете node-netmask, насчитывающем около 3 млн загрузок в неделю и используемом в качестве зависимости у более 270 тысяч проектов на GitHub, выявлена уязвимость (CVE-2021-28918), позволяющая обойти проверки, в которых сетевая маска используется для определения вхождения в диапазоны адресов или для фильтрации. Проблема устранена в выпуске node-netmask 2.0.0.
Уязвимость позволяет добиться обработки внешнего IP-адреса как адреса из внутренней сети и наоборот, а при определённой логике использования модуля node-netmask в приложении совершить атаки SSRF (Server-side request forgery),RFI (Remote File Inclusion) и LFI (Local File Inclusion) для обращения к ресурсам во внутренней сети и включения в цепочку выполнения внешних или локальных файлов. Проблема заключается в том, что в соответствии со спецификацией строковые значения адресов, начинающиеся с нуля, должны интерпретироваться как восьмеричные числа, но модуль "node-netmask" не учитывает данную особенность и обрабатывает их как десятичные числа.
Например, атакующий может запросить ресурс, указав значение "0177.0.0.1", которое в десятичном представлении соответствует "127.0.0.1", но модуль "node-netmask" отбросит ноль, и обработает 0177.0.0.1" как "177.0.0.1". В приложении при оценке правил доступа не будет определена тождественность с "127.0.0.1" и ресурс будет загружен с "0177.0.0.1" (фактическии с 127.0.0.1), несмотря на запрет обращения к адресам loopback-интерфейса.
Аналогично при обращении к приложению атакующий может указать адрес "0127.0.0.1", который тождественен "87.0.0.1", но в
модуле "node-netmask" будет обработан как "127.0.0.1" (т.е. приложение разрешит доступ к операциям с 127.0.0.1, несмотря на то, что фактически указан внешний адрес). Подобным образом можно обмануть и проверку обращения к интранет адресам, указав значения подобные "012.0.0.1" (эквивалент "10.0.0.1", но при проверке в node-netmask будет обработан как 12.0.0.1).
Выявившие проблему исследователи называют проблему катастрофичной и приводят несколько сценариев атак, но большинство из них выглядят умозрительными. Например, говорится о возможности атаковать приложение на базе Node.js, устанавливающее внешние соединения для запроса ресурса на основе параметров или данных входного запроса, но конкретно приложение не называется и не детализируется. Даже если найти приложения, выполняющие загрузку ресурсов на основе введённых IP-адресов, не совсем ясно как можно применить уязвимость на практике без подсоединения к локальной сети или без получения контроля за "зеркальными" IP-адресами.
Исследователи лишь предполагают, что владельцы 87.0.0.1 (Telecom Italia) и 0177.0.0.1 (Brasil Telecom) имеют возможность обойти ограничение доступа к 127.0.0.1. Более реалистичным сценарием является использование уязвимости для обхода различных списков блокировки, реализованных на стороне приложения. Проблема также может применяться для обмена определения интранет-диапазонов в NPM-модуле "private-ip".
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://sick.codes/universal-n...)
- OpenNews: Атака на пользователей почтовых клиентов при помощи ссылок "mailto:"
- OpenNews: Атака на системы фронтэнд-бэкенд, позволяющая вклиниться в сторонние запросы
- OpenNews: Новый вариант атаки NAT slipstreaming, позволяющей отправить запросы на внутренний IP
- OpenNews: Новая техника HTTP атак "HTTP Request Smuggling"
- OpenNews: Уязвимость в Apache открывает двери к внутренним ресурсам на другой стороне обратного прокси
Похожие новости:
- [Разработка веб-сайтов, JavaScript, Программирование, ReactJS] React Social App
- [Разработка веб-сайтов, Программирование, Компиляторы, IT-стандарты] Wasp — DSL для разработки веб-приложений
- [Разработка веб-сайтов, JavaScript, Программирование, Node.JS] Дорожная карта для разработчиков Node.js на 2021 год (перевод)
- [Разработка веб-сайтов, NoSQL, Node.JS] ArangoDB в реальном проекте
- [Высокая производительность, Программирование, Алгоритмы, WebAssembly] Разгоняем JS-парсер с помощью WebAssembly (часть 3: SIMD)
- [Высокая производительность, JavaScript, Программирование, WebAssembly] Разгоняем JS-парсер с помощью WebAssembly (часть 2: алгоритм и его оптимизации)
- Интервью с Райаном Далем, создателем Node.js
- [Высокая производительность, JavaScript, Программирование, WebAssembly] Разгоняем JS-парсер с помощью WebAssembly (часть 1: базовые возможности)
- [JavaScript, Программирование] Зависимости JavaScript: Все, что вы когда-либо хотели знать, но боялись спросить (перевод)
- [Разработка веб-сайтов, SQL, Node.JS, TypeScript] Как совершить транзакцию в Nest.js
Теги для поиска: #_netmask, #_nodejs
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 22:09
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В NPM-пакете node-netmask, насчитывающем около 3 млн загрузок в неделю и используемом в качестве зависимости у более 270 тысяч проектов на GitHub, выявлена уязвимость (CVE-2021-28918), позволяющая обойти проверки, в которых сетевая маска используется для определения вхождения в диапазоны адресов или для фильтрации. Проблема устранена в выпуске node-netmask 2.0.0. Уязвимость позволяет добиться обработки внешнего IP-адреса как адреса из внутренней сети и наоборот, а при определённой логике использования модуля node-netmask в приложении совершить атаки SSRF (Server-side request forgery),RFI (Remote File Inclusion) и LFI (Local File Inclusion) для обращения к ресурсам во внутренней сети и включения в цепочку выполнения внешних или локальных файлов. Проблема заключается в том, что в соответствии со спецификацией строковые значения адресов, начинающиеся с нуля, должны интерпретироваться как восьмеричные числа, но модуль "node-netmask" не учитывает данную особенность и обрабатывает их как десятичные числа. Например, атакующий может запросить ресурс, указав значение "0177.0.0.1", которое в десятичном представлении соответствует "127.0.0.1", но модуль "node-netmask" отбросит ноль, и обработает 0177.0.0.1" как "177.0.0.1". В приложении при оценке правил доступа не будет определена тождественность с "127.0.0.1" и ресурс будет загружен с "0177.0.0.1" (фактическии с 127.0.0.1), несмотря на запрет обращения к адресам loopback-интерфейса. Аналогично при обращении к приложению атакующий может указать адрес "0127.0.0.1", который тождественен "87.0.0.1", но в модуле "node-netmask" будет обработан как "127.0.0.1" (т.е. приложение разрешит доступ к операциям с 127.0.0.1, несмотря на то, что фактически указан внешний адрес). Подобным образом можно обмануть и проверку обращения к интранет адресам, указав значения подобные "012.0.0.1" (эквивалент "10.0.0.1", но при проверке в node-netmask будет обработан как 12.0.0.1). Выявившие проблему исследователи называют проблему катастрофичной и приводят несколько сценариев атак, но большинство из них выглядят умозрительными. Например, говорится о возможности атаковать приложение на базе Node.js, устанавливающее внешние соединения для запроса ресурса на основе параметров или данных входного запроса, но конкретно приложение не называется и не детализируется. Даже если найти приложения, выполняющие загрузку ресурсов на основе введённых IP-адресов, не совсем ясно как можно применить уязвимость на практике без подсоединения к локальной сети или без получения контроля за "зеркальными" IP-адресами. Исследователи лишь предполагают, что владельцы 87.0.0.1 (Telecom Italia) и 0177.0.0.1 (Brasil Telecom) имеют возможность обойти ограничение доступа к 127.0.0.1. Более реалистичным сценарием является использование уязвимости для обхода различных списков блокировки, реализованных на стороне приложения. Проблема также может применяться для обмена определения интранет-диапазонов в NPM-модуле "private-ip". =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 22:09
Часовой пояс: UTC + 5