Falha grave revelada no software de automação StackOtorm DevOps

Um pesquisador de segurança descobriu uma vulnerabilidade severa na popular StackStorm, baseada em eventos de código aberto, que poderia permitir que atacantes remotos induzissem osdesenvolvedores a executar comandos arbitrários em serviços direcionados.

O StackStorm, também conhecido como “IFTTT for Ops”, é uma poderosa ferramenta de automação orientada a eventos para integração e automação de serviços e ferramentas que permite aos desenvolvedores configurar ações, fluxos de trabalho e tarefas agendadas, a fim de executar algumas operações em servidores de grande escala.

Por exemplo, você pode definir instruções na plataforma Stackstorm para carregar automaticamente arquivos de pacotes de rede para um serviço de análise de rede baseado em nuvem, como o CloudShark, em eventos quando seu software de segurança detecta uma intrusão ou atividade mal-intencionada na rede .

Como o StackStorm executa ações – que podem ser qualquer coisa, desde a solicitação HTTP até um comando arbitrário – em servidores remotos ou serviços que os desenvolvedores integram para tarefas automatizadas, a plataforma é executada com privilégios bastante altos.

StackStorm

De acordo com o TheHackerNews, a falha residia na forma como a API REST StackStorm manipulava indevidamente os cabeçalhos CORS (cross-origin resource sharing), permitindo eventualmente web navegadores para executar solicitações entre domínios em nome dos usuários / desenvolvedores autenticados no StackStorm Web UI.

StackStorm

“Especificamente, o que a StackStorm API retornou para Access-Control-Allow-Origin . Antes do [StackStorm] 2.10.3 / 2.9.3, se a origem da solicitação fosse desconhecida, retornaríamos null”, disse StackStorm em um post no blog. sobre a vulnerabilidade.

“Como a documentação da Mozilla será mostrada, e o comportamento do cliente fará o backup, null pode resultar em uma solicitação bem-sucedida de uma origem desconhecida em alguns clientes. Permitindo a possibilidade de ataques no estilo XSS contra a API do StackStorm.”

O cabeçalho Access-Control-Allow-Origin é crítico para a segurança de recursos que especifica quais domínios podem acessar os recursos de um site, que se deixados mal configurados em um site, podem permitir que outros sites mal-intencionados acessem todos os recursos.

Para explorar a vulnerabilidade ( CVE-2019-9580 ), um atacante simplesmente precisa enviar um link malicioso para uma vítima, permitindo-lhe “ler / atualizar / criar ações e fluxos de trabalho, obter IPs internos e executar um comando em cada máquina que é acessível pelo agente StackStorm. “

O pesquisador compartilhou suas descobertas com a equipe do StackStorm na semana passada, que reconheceu o problema e imediatamente lançou o StackStorm versões 2.9.3 e 2.10.3 para resolver a vulnerabilidade em apenas dois dias.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.