Dietro le quinte, il progetto della piattaforma aperta di Spotify per la creazione di portali per sviluppatori presentava una vulnerabilità di elevata gravità che consentiva a potenziali autori di minacce di eseguire in remoto codice non autenticato nel progetto. Il difetto è stato scoperto dai fornitori di sicurezza delle app native del cloud Oxeye e successivamente corretto da Spotify.
Si consiglia agli utenti di aggiornare Backstage alla versione 1.5.1, che risolve il problema.
Spiegando come hanno scoperto la vulnerabilità, i ricercatori di Oxeye hanno affermato di aver sfruttato un bypass sandbox VM tramite la libreria vm2 di terze parti, consentendo loro di eseguire codice remoto non autenticato.
Attacchi basati su pattern
"Sfruttando un'elusione della sandbox vm2 nel plug-in principale Scaffolder, utilizzato per impostazione predefinita, gli hacker non autenticati hanno la capacità di eseguire comandi di sistema arbitrari in un'applicazione Backstage", ha affermato Yuval Ostrovsky, architetto software di Oxeye. "Le vulnerabilità critiche nelle applicazioni cloud-native come questa stanno diventando sempre più diffuse ed è fondamentale che questi problemi vengano affrontati senza indugio."
"Ciò che ha attirato la nostra attenzione in questo caso sono stati i pattern software Backstage e il potenziale di attacchi basati su pattern", ha affermato Daniel Abeles, capo della ricerca presso Oxeye. “Mentre cercavamo come mitigare questo rischio, abbiamo notato che il motore dei modelli poteva essere manipolato per eseguire comandi shell utilizzando modelli controllati dall’utente con Nunjuck al di fuori di un ambiente isolato.
L'obiettivo di Backstage è ottimizzare l'ambiente di sviluppo unificando tutti gli strumenti, i servizi e la documentazione dell'infrastruttura. Secondo Oxeye, ha oltre 19 stelle su GitHub, rendendola una delle piattaforme open source più popolari per la creazione di portali per sviluppatori. Spotify, American Airlines, Netflix, Splunk, Fidelity Investments, Epic Games e Palo Alto Networks sono solo alcune delle aziende che utilizzano Backstage.
Spiegando il problema e le possibili soluzioni in modo più dettagliato, i ricercatori hanno affermato che la radice di una fuga di macchina virtuale basata su modello è stata in grado di ottenere i diritti di esecuzione JavaScript sul modello. È stato spiegato che motori di template privi di logica come Moustache impediscono l'introduzione dell'iniezione di template lato server, eliminando così il problema.
“Se utilizzi un motore di template in un'applicazione, assicurati di scegliere quello giusto in termini di sicurezza. I robusti motori di template sono estremamente utili, ma possono rappresentare un rischio per l’organizzazione”, ha affermato Gal Goldshtein, ricercatore senior sulla sicurezza presso Oxeye. "Se utilizzi Backstage, ti consigliamo vivamente di aggiornare alla versione più recente per difenderti da questa vulnerabilità il prima possibile."