Атакуване на Node.js чрез манипулиране на прототипи на JavaScript обекти

Изследователи от Центъра за информационна сигурност Хелмхолц (CISPA) и Кралския технологичен институт (Швеция) анализираха приложимостта на техниката за замърсяване на прототипни обекти на JavaScript („прототипно замърсяване“) за създаване на атаки срещу платформата Node.js и популярни приложения, базирани на това, което води до изпълнение на код.

Методът за замърсяване на прототипа използва функция на езика JavaScript, която ви позволява да добавяте нови свойства към основния прототип на всеки обект. В приложенията може да има кодови блокове (джаджи), чиято работа е засегната от заместено свойство, например в кода може да има конструкция като 'const cmd = options.cmd || "/bin/sh"', чиято логика ще бъде променена, ако атакуващият успее да замени свойството "cmd" в основния прототип.

Успешната атака изисква приложението да може да използва вход отвън, за да създаде ново свойство в основния прототип на обекта и че притурка, която зависи от промененото свойство, се среща по време на изпълнение. Промяната на прототипа се извършва от Node.js, обработващ свойствата на помощната програма "__proto__" и "constructor". Свойството "__proto__" връща прототипа на класа на обекта, а свойството "constructor" връща функцията, използвана за създаване на обекта.

Ако кодът на приложението срещне присвояването "obj[a][b] = value" и стойностите са зададени от външни данни, атакуващият може да зададе "a" на стойността "__proto__" и да постигне настройката на своето свойство с името "b" и стойността "стойност" в основния прототип на обекта (obj.__proto__.b = стойност;), докато свойството, зададено в прототипа, ще бъде видимо във всички обекти. По същия начин, ако в кода има изрази като "obj[a][b][c] = стойност", чрез задаване на "a" на стойността "constructor" и "b" на "prototype" във всички съществуващи обекти, можете да дефинирате ново свойство с името "c" и стойността "value".

Пример за промяна на прототипа: const o1 = {}; const o2 = нов обект (); o1.__proto__.x = 42; // създаване на свойството "x" в основния прототип console.log(o2.x); // препращаме към свойството "x" от друг обект // получаваме 42 на изхода, тъй като основният прототип е променен чрез обекта o1, който също се използва в обекта o2

Пример за уязвим код: функция entryPoint (arg1, arg2, arg3){ const obj = {}; const p = obj[arg1]; p[arg2] = arg3; връщане p; }

Ако аргументите на функцията entryPoint се формират от входните данни, тогава атакуващият може да предаде стойността "__proto__" на arg1 и да създаде свойство с произволно име в основния прототип. Ако предадете стойността "toString" на arg2 и 3 на arg1, можете да дефинирате свойството "toString" (Object.prototype.toString=1) и да предизвикате срив на приложението, когато се извика функцията toString().

Като пример за ситуации, които могат да доведат до изпълнение на атакуващ код, е дадено създаването на свойствата "main", "shell", "exports", "contextExtensions" и "env". Например, атакуващият може да създаде "основно" свойство в основния прототип на обекта, като напише пътя до неговия скрипт в него (Object.prototype.main = "./../../pwned.js") и това свойство ще бъде извикан по време на изпълнение в кода на конструкцията require("my-package"), ако включеният пакет не дефинира изрично свойството "main" в package.json (ако свойството не е дефинирано, то ще да се получи от коренния прототип). По подобен начин свойствата "shell", "exports" и "env" могат да бъдат заменени: let rootProto = Object.prototype; rootProto["exports"] = {".":"./changelog.js"}; rootProto["1"] = "/path/to/npm/scripts/"; // изискване за задействане на повикване("./target.js"); Object.prototype.main = "/path/to/npm/scripts/changelog.js"; Object.prototype.shell = "възел"; object.prototype.env = {}; Object.prototype.env.NODE_OPTIONS = "--inspect-brk=0.0.0.0:1337"; // изискване за задействане на повикване("байтове");

Изследователите анализираха 10 1958 NPM пакета с най-много зависимости и установиха, че 4420 от тях нямат основно свойство в package.json, 355 използват относителни пътеки в оператора за изискване, а XNUMX директно използват API за заместване на команди.

Работен пример е експлойт за атака на бекенда на Parse Server, който замества свойството evalFunctions. За да се опрости идентифицирането на такива уязвимости, е разработен инструментариум, който съчетава методи за статичен и динамичен анализ. По време на тестването на Node.js бяха идентифицирани 11 джаджи, които могат да се използват за организиране на атаки, които водят до изпълнение на кода на нападателя. В допълнение към Parse Server, две експлоатируеми уязвимости също са идентифицирани в NPM CLI.

Източник: opennet.ru