当前位置:安全资讯 >> 全文

开源的 StackStorm DevOps 自动化软件被曝严重漏洞

发布时间:2019-3-12 20:01 标签: 开源,StackStorm,RCE
分享到 0

一名研究员在流行的开源事件驱动平台 StackStorm 上发现了一个严重漏洞,可导致远程攻击者诱骗开发人员在毫无察觉的情况下在目标服务上执行任意命令。

StackStorm 也被称为“运维人员的 IFTTT”,它是一款强大的事件驱动自动化工具,用于集成并自动化各种服务和工具,允许开发人员配置动作、工作流和调度任务,旨在在大规模的服务器上执行某些操作。

例如,用户可以在 StackStorm 平台上设置指令,在用户的安全软件检测到网络中的入侵或恶意活动时,自动将网络数据包文件上传到基于云的网络分析服务如CloudShark

由于StackStorm 能够在开发人员集成自动化任务的远程服务器或服务上执行任何动作,如 HTTP 请求甚至是任意命令,因此该平台以非常高的权限运行。

漏洞概况

应用安全研究员 Barak Tawily 表示,该缺陷存在于 StackStorm REST API 不正确地处理 CORS(跨源资源共享)头部的方式中,最终使得 web 浏览器以在 StackStorm Web UI 上已验证的用户/开发人员能够执行跨域请求。

StackStorm 在漏洞说明中指出,“具体而言,StackStorm API Access-Control-Allow-Origin 返回什么内容。在 [StackStorm] 2.10.3/2.9.3 版本之前,如果请求的来源是未知的,那么我们将返回 null。正如 Mozilla 的文档说明的那样,客户端行为将备份,null 可导致从某些客户端中的未知来源提出请求,从而导致发生针对 StackStorm API XSS 攻击。”

Access-Control-Allow-Origin 头部对于资源安全而言至关重要,它具体说明了哪些域名能够访问某站点的资源以及如果在站点上错误配置的情况,它们可导致其它恶意站点以跨站点的形式访问其资源。

要利用该漏洞 (CVE-2019-9580),攻击者只需向受害者发送恶意构造的链接,允许其“读取/更新/创建动作和工作流,获取内部 IP 并在可由 StackStorm 代理访问的每台机器上执行命令。”

Tawily PoC 中演示了该漏洞如何可导致攻击者接管任何可由 StackStorm 代理访问的服务器。

立即更新

Tawily 在上周将问题告知 StackStorm 团队,后者证实问题的存在并立即发布 StackStorm 版本 2.9.3 2.10.3在两天之内解决该漏洞问题。

强烈建议运维团队更新 StackStorm

 

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://thehackernews.com/2019/03/stackstorm-security-vulnerability.html
参与讨论,请先 登录 | 注册

用户评论