У бібліотеці «jsonwebtoken» виявлено критичну вразливість

У бібліотеці jsonwebtoken (JWT) з відкритим вихідним кодом було виявлено серйозну вразливість. В разі її успішного використання стає можливим віддалене виконання коду (remote code execution) на цільовому сервері.

«Використовуючи цю вразливість, зловмисники можуть досягти віддаленого виконання коду (RCE) на сервері, верифікуючи шкідливий запит вебтокена JSON (JWT)», — сказав дослідник Palo Alto Networks Unit 42 Артур Олеярш у звіті в понеділок.

Вперше її було виявлено ще в липні 2022 року. ID вразливості CVE-2022-23529, оцінка CVSS: 7,6. Вона впливає на всі версії бібліотеки, включаючи 8.5.1 і нижче. У версії 9.0.0 (від 21 грудня 2022 року) вже додано виправлення.

Бібліотека jsonwebtoken розроблена та підтримується Okta’s Auth0. Вона є модулем JavaScript, який дозволяє користувачам декодувати, перевіряти та генерувати вебтокени JSON як засіб безпечної передачі інформації між двома сторонами для авторизації та автентифікації. Згідно з реєстром npm щотижня її завантажують понад 10 мільйонів користувачів. А загалом ця бібліотека використовується більш ніж у 22 000 проєктів.

Таким чином, можливість запуску шкідливого коду на сервері потенційно дозволяє зловмисникам перезаписувати довільні файли на хості. Також вони можуть виконувати будь-які дії за власним вибором за допомогою сфальсифікованого секретного ключа.

jwt

«Разом з тим, щоб використати вразливість, описану в цій публікації, і контролювати значення secretOrPublicKey, зловмиснику буде потрібно використати недолік у процесі керування секретами (примітка: secrets це будь-які дані, які ми не хотіли б показувати широкому колу осіб: паролі, ключ шифрування, API-токен і тд.)», — пояснив Олеярш.

Підсумки

Очевидним є факт, що кіберзлочинці стали набагато швидше використовувати виявлені вразливості, різко скорочуючи час для випуску виправлення. За даними Microsoft, у середньому потрібно лише 14 днів, щоб експлойт був виявлений після публічного оприлюднення багу.

Оскільки програмне забезпечення з відкритим вихідним кодом все більше стає вигідною стартовою точкою для отримання доступу та атак ланцюгів постачання, для організації сьогодні надзвичайно важливо, щоб вразливості вчасно виявлялися та виправлялися. Застосування якісних високоточних інструментів сканування від Invicti та своєчасна робота над виправленнями знижує ризики пов’язані з вразливостями до мінімуму.

Джерело

Підписатися на новини