كشف باحثون أمنيون في شركة البرمجيات البريطانية سنيك عن تفاصيل حول نقطة ضعف حرجة تؤثر على آلاف المشاريع عبر العديد من الأنظمة البيئية ويمكن استغلالها من قبل المهاجمين لتحقيق تنفيذ التعليمات البرمجية على الأنظمة المستهدفة.
يطلق على " Zip Slip " ، المشكلة هي ملف تعسفي يستبدل الضعف الذي ينطلق من هجوم اجتياز دليل أثناء استخراج الملفات من أرشيف ويؤثر على العديد من تنسيقات الأرشيف ، بما في ذلك tar و jar و war و cpio و apk و rar و 7z.
الآلاف من المشاريع مكتوبة بلغات برمجة متنوعة بما في ذلك JavaScript ، و Ruby ، و Java ، و .NET و Go— من Google ، و Oracle ، و IBM ، و Apache ، و Amazon ، و Spring / Pivotal ، و Linkedin ، و Twitter ، و Alibaba ، و Eclipse ، و OWASP ، و ElasticSearch ، و JetBrains والمزيد —يحتفظ بالرموز والمكتبات الضعيفة.
ولم يتم اكتشافها لسنوات ، يمكن استغلال الثغرة الأمنية باستخدام ملف أرشيف تم تصميمه خصيصًا يحمل أسماء ملفات اجتياز الدليل ، والتي إذا ما تم استخراجها بواسطة أي كود ضعيف أو مكتبة ، فسيسمح للمهاجمين بملفات ضارة غير خفية خارج المجلد الذي ينبغي أن يقيم فيه.
باستخدام هذا الهجوم Zip Slip ، يمكن للمهاجم أن يقوم بالكتابة فوق الملفات القابلة للتنفيذ المشروعة أو ملفات التهيئة للتطبيق لخداع النظام المستهدف أو المستخدم في تشغيله ، "وبالتالي تحقيق تنفيذ الأوامر عن بعد على جهاز الضحية" ، تشرح الشركة.
"يمكن أن تتسبب الثغرة الأمنية أيضًا في حدوث تلف عن طريق الكتابة فوق ملفات التكوين أو الموارد الحساسة الأخرى ، ويمكن استغلالها على كل من أجهزة الكمبيوتر والملقم (المستخدم)."
"يجب أن تكون محتويات هذا الملف المضغوط مضغوطة يدويًا. لا تسمح أدوات إنشاء الأرشيف عادةً للمستخدمين بإضافة ملفات بهذه المسارات ، على الرغم من مواصفات zip التي تسمح بها. ومع ذلك ، باستخدام الأدوات المناسبة ، من السهل إنشاء ملفات بهذه المسارات. ".
كما قامت الشركة بنشر محفوظات Zip Slip الخاصة بالمفاهيم وإصدار عرض فيديو ، يوضح كيف يمكن للمهاجمين استغلال ثغرة Zip Slip.
منذ أبريل ، بدأت الشركة في الكشف بشكل خاص عن قابلية تعرض Zip Slip لجميع مكتبات ومشروعات المشاريع الضعيفة.
كما تم نشر قائمة بجميع المكتبات والمشاريع المتأثرة في مستودع Snyk's GitHub ، وقد قام بعضها بالفعل بإصلاح المشكلة مع إصدار الإصدارات المحدثة.
علاوة على ذلك ، يمكنك أيضًا قراءة مشاركة مدونة Snyk لمعرفة المزيد عن الرموز الضعيفة في الأنظمة البيئية المختلفة من خلال أمثلة القصاصات.