Kritična sigurnosna ranjivost otkrivena je u široko korištenom paketu Node.js “informacije o sistemu”, potencijalno izlažući milione sistema napadima daljinskog izvršavanja koda (RCE).
Greška, identifikovana kao CVE-2024-56334 , utiče na verzije do i uključujući 5.23.6 paketa, koji ima preko 8 miliona preuzimanja mesječno i nevjerovatnih 330 miliona ukupnih preuzimanja.
Ranjivost proizilazi iz greške u ubrizgavanju komande unutar funkcije getWindowsIEEE8021x, koja preuzima informacije o mrežnom SSID-u.
Ova funkcija ne uspijeva ispravno sanirati SSID prije nego što ga proslijedi kao parametar u cmd.exe. Kao rezultat toga, napadač bi mogao ugraditi zlonamjerne komande unutar SSID-a Wi-Fi mreže , koje bi se zatim izvršile na ranjivom sistemu kada se pozove funkcija getWindowsIEEE8021x.
Ovisno o tome kako se paket koristi, ova ranjivost bi mogla omogućiti napadačima da izvrše daljinsko izvršavanje koda ili lokalnu eskalaciju privilegija. Čini se da je eksploatacija relativno jednostavna, zahtijeva samo lokalni pristup za pristup napadu.
Dokaz koncepta (PoC) pokazuje dva potencijalna scenarija napada:
- Izvođenje ping naredbe na neodređeno vrijeme postavljanjem SSID-a na:
a" | ping /t 127.0.0.1 &
- Izvršavanje proizvoljnog izvršnog fajla s povišenim privilegijama postavljanjem SSID-a na:
a" | %SystemDrive%\a\a.exe &
Jednom kada se poveže sa maliciozno kreiranom Wi-Fi mrežom, jednostavno pozivanje ranjive funkcije (npr. si.networkInterfaces()
) bi pokrenulo izvršenje ugrađene komande.
Održavači “informacija o sistemu” su se pozabavili ovim problemom u verziji 5.23.7. Svi korisnici ovog paketa se snažno pozivaju da odmah ažuriraju na najnoviju verziju.
Za programere koji ne mogu izvršiti nadogradnju, zaobilazno rješenje uključuje ručno čišćenje parametara proslijeđenih određenim funkcijama, uključujući. si.inetLatency()
, si.inetChecksite()
, si.services()
, si.processLoad()
i .
Otkriće CVE-2024-56334 u paketu „informacije o sistemu“ naglašava kritičnu važnost održavanja budnosti u sigurnosti softvera, posebno za široko prihvaćene biblioteke otvorenog koda.
Izvor: CyberSecurityNews