В библиотеке «jsonwebtoken» обнаружена критическая уязвимость

В библиотеке jsonwebtoken (JWT) с открытым исходным кодом была обнаружена серьезная уязвимость. В случае ее успешного использования становится возможным удаленное исполнение кода (remote code execution) на целевом сервере.

“Используя эту уязвимость, злоумышленники могут достичь удаленного исполнения кода (RCE) на сервере, проверяя вредоносный запрос вебтокена JSON (JWT)”, – сказал исследователь Palo Alto Networks Unit 42 Артур Олеярш в отчете в понедельник.

ID уязвимости CVE-2022-23529, оценка CVSS: 7,6. Она оказывает влияние на все версии библиотеки, включая 8.5.1 и ниже. В версии 9.0.0 (от 21 декабря 2022 года) уже добавлен патч. Впервые она была обнаружена еще в июле 2022 года.

Библиотека jsonwebtoken разработана и поддерживается Okta’s Auth0. Она является модулем JavaScript, позволяющим пользователям декодировать, проверять и генерировать веб-токены JSON как средство безопасной передачи информации между двумя сторонами для авторизации и аутентификации. Согласно реестру npm еженедельно ее загружают более 10 миллионов пользователей. В целом эта библиотека используется более чем в 22 000 проектов.

Таким образом, возможность запуска вредоносного кода на сервере потенциально позволяет злоумышленникам перезаписывать произвольные файлы на хосте. Также они могут выполнять любые действия по собственному выбору с помощью сфальсифицированного секретного ключа.

jwt

«Вместе с тем, чтобы использовать уязвимость, описанную в этой публикации, и контролировать значение secretOrPublicKey, злоумышленнику потребуется использовать недостаток в процессе управления секретами (примечание: secrets это любые данные, которые мы не хотели бы показывать широкому кругу лиц: пароли, ключ шифрования, API-токен и т.д.)», — объяснил Олеярш.

Итоги

Очевиден факт, что киберпреступники стали гораздо быстрее использовать обнаруженные уязвимости, резко сокращая время для выпуска патча. По данным Microsoft, в среднем нужно всего 14 дней, чтобы эксплойт был обнаружен после публичного обнародования бага.

Поскольку программное обеспечение с открытым исходным кодом становится более выгодной стартовой точкой для получения доступа и атак на цепочку поставок, для организации сегодня чрезвычайно важно, чтобы уязвимости вовремя выявлялись и исправлялись. Применение высококачественных высокоточных инструментов сканирования от Invicti и своевременная работа над исправлениями снижает риски связанные с уязвимостями к минимуму.

Источник

Подписаться на новости