Уязвимост в NPM пакета node-netmask, използван в 270 хиляди проекта

Пакетът node-netmask NPM, който има около 3 милиона изтегляния на седмица и се използва като зависимост от повече от 270 хиляди проекта на GitHub, има уязвимост (CVE-2021-28918), която му позволява да заобиколи проверките, които използват мрежовата маска за определяне на възникването на адресни диапазони или за филтриране. Проблемът е решен в изданието на node-netmask 2.0.0.

Уязвимостта позволява да се третира външен IP адрес като адрес от вътрешната мрежа и обратно, и с определена логика на използване на модула node-netmask в приложението за извършване на SSRF (Server-side request forgery), RFI (Отдалечено включване на файлове) и LFI (атаки за включване на локални файлове) за достъп до ресурси във вътрешната мрежа и включване на външни или локални файлове във веригата за изпълнение. Проблемът е, че според спецификацията, стойностите на адресния низ, започващи с нула, трябва да се интерпретират като осмични числа, но модулът за мрежова маска на възел не взема това предвид и ги третира като десетични числа.

Например, атакуващ може да поиска локален ресурс, като посочи стойността "0177.0.0.1", която съответства на "127.0.0.1", но модулът "node-netmask" ще отхвърли нулата и ще третира 0177.0.0.1″ като " 177.0.0.1", което в приложението, когато се оценяват правилата за достъп, няма да е възможно да се определи идентичността с „127.0.0.1". По същия начин атакуващият може да посочи адреса „0127.0.0.1“, който трябва да бъде идентичен с „87.0.0.1“, но ще бъде третиран като „127.0.0.1“ в модула „node-netmask“. По същия начин можете да измамите проверката за достъп до интранет адреси, като посочите стойности като „012.0.0.1“ (еквивалентни на „10.0.0.1“, но ще бъдат обработени като 12.0.0.1 по време на проверка).

Изследователите, които са идентифицирали проблема, наричат ​​проблема катастрофален и предоставят няколко сценария за атака, но повечето от тях изглеждат спекулативни. Например, той говори за възможността за атака на базирано на Node.js приложение, което установява външни връзки, за да поиска ресурс въз основа на параметрите или данните на входната заявка, но приложението не е конкретно наименувано или подробно. Дори и да намерите приложения, които зареждат ресурси въз основа на въведените IP адреси, не е напълно ясно как уязвимостта може да бъде експлоатирана на практика без свързване към локална мрежа или без получаване на контрол върху „огледални“ IP адреси.

Изследователите само предполагат, че собствениците на 87.0.0.1 (Telecom Italia) и 0177.0.0.1 (Brasil Telecom) могат да заобиколят ограничението за достъп до 127.0.0.1. По-реалистичен сценарий е да се използва уязвимостта, за да се заобиколят различни списъци за блокиране от страна на приложението. Проблемът може да се приложи и за споделяне на дефиницията на интранет диапазони в NPM модула „private-ip“.

Източник: opennet.ru