RCE-sårbarhed i Spotifys Backstage

Alvorlig sårbarhed kan give adgang til fortrolige oplysninger i integrererede systemer.

Der er opdaget en sårbarhed i Spotifys open source-projekt, Backstage. Det skriver Infosecurity Magazine.

Projektet har egentligt benævnelsen Cloud Native Computing Foundation (CNCF) og er Spotifys byggeplatform eller sandkassemiljø, hvor forskellig typer kode kan testes. Det er et researchteam fra Oxeye, som har formået at udnytte en sandkasseudslip fra en virtuel maskine (VM) via et tredjepartsbibliotek ved navn vm2.

Ved første øjekast indeholder Backstage langt fra kritiske data, men når sårbarheden alligevel påkalder sig opmærksomhed skyldes det, at platformen kan indeholde integrationsdetaljer til mange organisationssystemer, såsom Prometheus, Jira, ElasticSearch og andre, hedder det i rapporten fra Oxeye. En evt. udnyttelse kan derfor have kritiske konsekvenser for organisationer og kan kompromittere tjenester og data.

Oxeye opdagede fejlen ved hjælp af en relativt simpel manøvre. Den viste at Backstage som standard blev implementeret uden en godkendelsesmekanisme, som kunne tillade gæsteadgang. Nogle af de offentlige Backstage-servere, der er tilgængelige for internettet, krævede ikke nogen godkendelse, fremgår det.

Ifølge Oxeye er fejlen forankret i et værktøj kaldet "software templates" eller softwareskabeloner på dansk, der kan bruges til at skabe komponenter i Backstage. 

Udnyttelse af sårbarheden kan føre til fjernafvikling af kode og har derfor fået en CVSS-score på 9,8 af Spotify selv. Sårbarheden er blevet rapporteret via Spotifys bug bounty-program; herefter har Backstage-teamet patchet den i version 1.5.1.

Links:

https://www.infosecurity-magazine.com/news/rce-found-in-spotifys-backstage/

https://www.oxeye.io/blog/remote-code-execution-in-spotifys-backstage