Один вредоносный файл — и ваша информация у злоумышленников.
На днях была публично раскрыта критическая уязвимость в открытом инструменте для очистки и преобразования данных OpenRefine. Недостаток безопасности может привести к произвольному выполнению кода на затронутых системах.
OpenRefine — это бесплатное программное средство с открытым исходным кодом, предназначенное для структуризации данных. Главной особенностью OpenRefine является возможность автоматического выявления и устранения ошибок в данных, а также создания согласованных наборов данных.
Уязвимость, обозначенная как CVE-2023-37476 (CVSS 7.8), представляет собой так называемую «Zip Slip» уязвимость и может оказать неблагоприятное воздействие при импорте специально созданного проекта в версиях OpenRefine 3.7.3 и ниже.
«Хотя OpenRefine предназначен только для локального запуска на компьютере пользователя, злоумышленники могут обмануть пользователя и заставить его импортировать вредоносный файл проекта», — заявил исследователь безопасности из SonarSource, Стефан Шиллер. После импорта этого файла хакеры смогут выполнять произвольный код на машине пользователя.
Программное обеспечение, подверженное уязвимостям Zip Slip, может проложить путь к выполнению кода, воспользовавшись ошибкой обхода каталога, которую злоумышленники затем в состоянии использовать для получения доступа к тем частям файловой системы, которые в ином случае должны быть недоступны.
Суть атаки заключается в том, что извлекаемый код не проходит должной проверки, что может позволить перезаписывать файлы или распаковывать их в непредназначенные места.
Описанная уязвимость в OpenRefine работает с использованием метода «untar» и позволяет записывать файлы вне целевой папки, создав архив с именем файла «../../../../tmp/pwned.»
Также было отмечено, что уязвимость может использоваться для добавления нового пользователя в файл «passwd», добавления SSH-ключа, создания задания «cron» и многого другого.
После ответственного раскрытия 7 июля 2023 года уязвимость была исправлена в версии 3.7.4, выпущенной 17 июля 2023 года. Примечательно, что раскрытие уязвимости в OpenRefine произошло практически одновременно с появлением PoC-кода для пары уже устранённых уязвимостей в Microsoft SharePoint и опасного бага в Apache NiFi, который допускает удалённое выполнение кода через вредоносные строки подключения к базе данных H2.
Пользователям подобного софта рекомендуется регулярно проводить аудиты безопасности, своевременно обновлять программное обеспечение и устранять любые выявленные уязвимости.
Большой взрыв знаний каждый день в вашем телефоне