RCE-sårbarhed i Quarkus

Af Eskil Sørensen, 02/12/22

Udviklere advares om kritisk RCE-sårbarhed i Quarkus Java Framework.

Udviklere er blevet advaret om, at den populære Quarkus-ramme er påvirket af en kritisk sårbarhed, der kan føre til fjernafvikling af kode.

Det skriver Infosecurity Magazine m.fl.

Quarkus er en open source Kubernetes-native Java-ramme designet til GraalVM og HotSpot virtuelle maskiner. Fejlen har id’et CVE-2022-4116 (CVSS-score på 9,8) og er blevet identificeret i Dev UI Config Editor. Den er ifølge researcheren bag fundet, Joseph Beeton fra Contrast Security, ikke svær at udnytte vha. et drive-by localhost-angreb af en ondsindet aktør uden nogen privilegier.

Ved drive-by download installeres et skadeligt program på pc'en, blot ved at den besøger et websted. Det kan lade sig gøre, hvis der er sårbare programmer på pc'en. Localhost-bundne tjenester er at betragte som websteder, fordi de er tilgængelige udefra. En angriber kan på den måde oprette et localhost /ondsindet websted og rette den mod udviklere, der bruger sårbare forekomster af Quarkus. Besøger en udvikler med en lokalt installeret, sårbar Quarkus et websted med ondsindet JavaScript, kan JavaScripten afvikle kode på udviklerens maskine.

Researcheren bag fundet har udgivet proof-of-concept (PoC) kode, der starter regneprogrammet på målmaskinen, men han advarer ifølge Infosecurity Magazine om, at ondsindet udnyttelse af fejlen kan have ’bred indvirkning’, dog afhængigt hvilke ressourcer, nøgler osv., som udvikleren har adgang til.

Det tilføjes, at der også er risiko for, at en installeret, skadelig kode kan lave flere ulykker, fx installation af en keylogger mhp. at fange loginoplysninger til mere sensitive systemer.

Quarkus har annonceret, at patches til CVE-2022-4116 er blevet inkluderet i 2.14.2.Final og 2.13.5.Final udgivelserne af rammeværket.