Неизвестная уязвимость Apache Velocity XSS влияет на сайты GOV

неизвестная, уязвимость, apache, velocity, сайты

Неизвестная уязвимость межсайтового скриптинга (XSS) в Apache Velocity Tools может быть использована неаутентифицированными злоумышленниками для нацеливания на правительственные сайты, включая NASA и NOAA.

Хотя с момента сообщения об уязвимости и ее исправления прошло 90 дней, BleepingComputer не знает об официальном раскрытии, сделанном проектом.

Apache Velocity. это механизм шаблонов на основе Java, используемый разработчиками для проектирования представлений в архитектуре модель-представление-контроллер (MVC).

Velocity Tools. это подпроект, включающий классы, которые еще больше упрощают интеграцию Velocity в стандартные и веб-приложения.

Правительственные сайты, использующие Apache Velocity Tools, уязвимы для XSS

У Apache Velocity Tools есть нераскрытая XSS-уязвимость, которая затрагивает все его версии, несмотря на то, что исправление было опубликовано на GitHub несколько месяцев назад.

Хотя официального раскрытия уязвимости не произошло, BleepingComputer был проинформирован о том, что эта уязвимость отслеживается внутри компании как CVE-2020-13959.

При запросе систем Nexus Intelligence от Sonatype я обнаружил, что класс Apache Velocity Tools, содержащий этот недостаток, включен в более чем 2600 уникальных двоичных файлов известных программных приложений, доступных для загрузки из npm, PyPI, Maven Central и других репозиториев с открытым исходным кодом.

Популярность компонента среди разработчиков делает критически важным своевременное раскрытие уязвимостей, влияющих на Velocity Tools.

Исследователь безопасности Джексон Генри из этической хакерской группы Sakura Samurai впервые обнаружил уязвимость Apache и сообщил о ней в начале октября 2020 года.

Хотя проект признал отчет Генри и опубликовал общедоступное исправление на GitHub 5 ноября 2020 года, надлежащее публичное раскрытие так и не произошло, что обеспокоило исследователей Sakura Samurai.

READ  Cyberpunk 2077 выпускает исправление, включает в себя множество исправлений ошибок и улучшений

Отраженный недостаток XSS существует в том, как класс представления VelocityViewServlet отображает страницы ошибок.

При обращении к недопустимому URL-адресу страница с ошибкой «шаблон не найден» отражает часть URL-адреса, содержащую путь к ресурсу, без экранирования для потенциальных сценариев XSS.

Следовательно, злоумышленник может обманом заставить жертву щелкнуть такой URL-адрес, который приведет жертву на измененную фишинговую страницу или извлечет информацию о сеансе входа в систему.

По наблюдениям BleepingComputer, уязвимые экземпляры Apache Velocity Tools используются правительственными веб-сайтами, включая.nasa.gov и.gov.au.

сложные варианты этого XSS-эксплойта в сочетании с некоторыми приемами социальной инженерии могут позволить злоумышленникам собирать файлы cookie сеансов вошедших в систему пользователей и потенциально захватывать их сеансы.

Это особенно актуально для порталов входа в систему сотрудников и подрядчиков, размещенных на государственных доменах, таких как показанный ниже.

Apache: отчеты об уязвимостях с сортировкой по степени серьезности

Когда BleepingComputer обратился к BleepingComputer за комментариями, представители Apache Software Foundation (ASF) заявили, что группа безопасности Apache получает сотни отчетов об уязвимостях в год и что они своевременно реагируют на них в зависимости от серьезности проблемы, как показано в их годовой отчет о безопасности.

«Что касается XSS-уязвимости в инструментах Apache Velocity, 6 октября 2020 года с группой безопасности Apache впервые связался человек (называемый докладчиком о проблеме), который сообщил о проблеме, которая, как они обнаружили, затрагивает часть пакета Velocity Tools».

«Мы поделились этим в частном порядке с Комитетом управления проектами Apache Velocity Project Management (PMC), который изучил и принял отчет 7 октября и предложил репортеру представить исправление».

READ  Google присоединяется к Modern Computing Alliance и рекламирует PWA

«Затем репортер отправил запрос на перенос, и в течение нескольких недель команда работала над уточнением исправления. Это исправление было применено 5 ноября. Репортер представил свой патч публично 8 октября и из-за отсутствия критический характер уязвимости, команда Velocity решила продолжить работу над проблемой публично ».

«8 октября проблеме был присвоен внутренний номер CVE-2020-13959». сказал BleepingComputer Марк Дж. Кокс, вице-президент ASF Security.

Следующим шагом, оставшимся для проекта, является создание фиксированного выпуска Velocity Tools, в котором будет упоминаться CVE и путь обновления, дата которого еще не определена.

Однако пользователи, которые предпочли бы не дожидаться выпуска исправления, могут сами поэкспериментировать с применением общедоступного исправления.

Растущее беспокойство по поводу поставщиков, выступающих в роли CNA

В последнее время, когда количество отчетов об уязвимостях продолжает расти экспоненциально, MITER, некоммерческая организация, которой поручено назначать идентификаторы CVE, столкнулась с проблемами масштабируемости.

Чтобы ускорить процесс присвоения CVE и ответственного раскрытия информации, была введена концепция органов нумерации CVE (CNA).

Организации, получившие одобрение в качестве CNA, уполномочены назначать CVE для отчетов об уязвимостях и обрабатывать ответственный процесс раскрытия информации от имени MITER.

Однако в последнее время все больше и больше поставщиков стремятся стать CNA и взять под контроль процесс раскрытия уязвимостей.

Это заставило профессионалов в области информационной безопасности опасаться, может ли такое развитие событий действительно снизить безопасность в долгосрочной перспективе.

READ  Qualcomm Snapdragon 7c подходит для Acer Chromebook Spin 5

Как ранее сообщал The Daily Swig, согласно правилам MITRE, CNA не требуется назначать CVE уязвимостям, о которых сообщается в частном порядке проектам, некоторые из которых могут включать их собственные продукты.

Это означает, что поставщики могут спокойно исправлять даже самые серьезные проблемы безопасности прямо сейчас, без необходимости немедленно сообщать о них публично.

Совсем недавно это произошло в случае VMWare, когда исследователи PT Swarm сообщили об уязвимости чтения файла без аутентификации в vCenter и незаметно исправили ее с помощью VMWare без немедленного выпуска CVE.

«Компании должны серьезно относиться к уязвимостям системы безопасности и работать с исследователями над разработкой исправлений».

«Связь и обновления статуса важны для того, чтобы держать исследователей в курсе, это важный аспект исправления, который можно упустить из виду и нанести ущерб прозрачности. даже обескураживающий». сказал Генри BleepingComputer в интервью по электронной почте.

Команда безопасности Apache поделилась подробностями своего процесса обработки CVE с BleepingComputer, который иногда может включать кратковременную задержку раскрытия уязвимостей для некритических проблем.

«Если вопросы безопасности не являются критическими, некоторые проекты откладывают выпуск релиза на короткое время, чтобы одновременно решить другие проблемы».

«Следует отметить, что в этом случае на каждое электронное письмо, которое репортер проблемы отправил в группу безопасности ASF, был дан ответ в течение одного рабочего дня, причем репортер хвалил наш быстрый ответ, поэтому мы немного удивлены, узнав, что репортер считает, что они «. рассказали BleepingComputer из группы безопасности Apache.

Источник