Kritična greška Node.js omogućava napadačima da izvrše maliciozni kod na Windows mašinama

Đorđe

6 months ago

Kritična greška Node.js omogućava napadačima da izvrše zlonamjerni kod na Windows mašinama-Kiber.ba

Projekat Node.js otkrio je ranjivost visoke ozbiljnosti koja utiče na više aktivnih linija izdanja njegovog softvera na Windows platformama.

Ova mana, identifikovana kao CVE-2024-27980, omogućava napadačima da izvršavaju proizvoljne komande na pogođenim sistemima, što predstavlja ozbiljan rizik za aplikacije i usluge izgrađene na Node.js.

Greška Node.js omogućava napadačima da izvrše maliciozni kod

Srž ranjivosti leži u child_process.spawni child_process.spawnSyncfunkcijama Node.js-a kada se koristi na Windows operativnim sistemima. Ove funkcije se obično koriste za pokretanje podređenih procesa iz Node.js aplikacija.

Greška je otkrivena u rukovanju batch datotekama i argumentima komandne linije proslijeđenim ovim funkcijama.

Konkretno, otkriveno je da maliciozno kreiran argument komandne linije može dovesti do ubrizgavanja naredbe i izvršavanja proizvoljnog koda, čak i ako shellopcija nije omogućena u pozivu funkcije.

Ova ranjivost je posebno alarmantna jer zaobilazi sigurnosni mehanizam koji se obezbjeđuje onemogućavanjem shellopcije, što se često preporučuje kao najbolja sigurnosna praksa.

Uticaj je široko rasprostranjen i pogađa sve korisnike 18.x, 20.x i 21.x izdanja Node.js na Windows-u.

Projekat Node.js je brzo reagovao kao odgovor na otkriće CVE-2024-27980. Objavljena su sigurnosna ažuriranja za ublažavanje problema za zahvaćene verzije: 18.x, 20.x i 21.x.

Ova ažuriranja su dostupna od utorka, 9. aprila 2024, a korisnici se pozivaju da odmah nadograde svoje Node.js instalacije kako bi zaštitili svoje aplikacije i infrastrukturu od potencijalne eksploatacije.

Istraživač sigurnosti Ryotak je zaslužan za otkrivanje ove ranjivosti, a Ben Noordhuis je implementirao ispravku. Node.js projekat je izrazio zahvalnost članovima zajednice na njihovom doprinosu u održavanju sigurnosti i integriteta platforme.

Preporuke za korisnike Node.js

U svjetlu ove kritične ranjivosti, korisnicima Node.js, posebno onima koji pokreću aplikacije na Windows-u, savjetuje se:

Odmah ažurirajte : Nadogradite na najnovije zakrpljene verzije Node.js (18.x, 20.x, 21.x) da biste ublažili rizik koji predstavlja CVE-2024-27980.
Pregledajte sigurnosne prakse : Ponovo procijenite upotrebu podređenih procesa unutar Node.js aplikacija, posebno u vezi sa rukovanjem eksternim unosom i argumentima komandne linije.
Budite informisani : Pretplatite se na nodejs-sec mailing listu i redovno proveravajte zvaničnu Node.js bezbednosnu stranicu za ažuriranja o ranjivostima i bezbjednosnim izdanjima.

Izvor: CyberSecurityNews