התקפה על Node.js באמצעות מניפולציה של אבות טיפוס של אובייקט JavaScript

חוקרים ממרכז הלמהולץ לאבטחת מידע (CISPA) והמכון המלכותי לטכנולוגיה (שבדיה) ניתחו את הישימות של טכניקת הזיהום של אב טיפוס JavaScript ליצירת התקפות על פלטפורמת Node.js ויישומים פופולריים המבוססים עליה, מה שהוביל לביצוע קוד.

שיטת האב-טיפוס המזהם משתמשת בתכונה של שפת JavaScript המאפשרת להוסיף מאפיינים חדשים לאב-טיפוס השורש של כל אובייקט. יישומים עשויים להכיל בלוקי קוד (גאדג'טים) שהפעולה שלהם מושפעת ממאפיין מוחלף; לדוגמה, הקוד עשוי להכיל מבנה כמו 'const cmd = options.cmd || "/bin/sh"', שהלוגיקה שלו תשתנה אם התוקף יצליח להחליף את המאפיין "cmd" באב-טיפוס השורש.

התקפה מוצלחת מחייבת שהאפליקציה תוכל להשתמש בנתונים חיצוניים כדי ליצור מאפיין חדש באב-טיפוס השורש של האובייקט, ושביצוע יתקל בגאדג'ט שתלוי במאפיין שהשתנה. שינוי אב הטיפוס מתבצע על ידי עיבוד מאפייני השירות "__proto__" ו-"constructor" ב-Node.js. המאפיין "__proto__" מחזיר את אב הטיפוס של המחלקה של האובייקט, והמאפיין "constructor" מחזיר את הפונקציה ששימשה ליצירת האובייקט.

אם קוד האפליקציה מכיל את ההקצאה "obj[a][b] = value" והערכים נקבעים מנתונים חיצוניים, תוקף יכול להגדיר "a" לערך "__proto__" ולהשיג התקנה של נכס משלו עם השם "b" והערך "value" באב הטיפוס הבסיסי של האובייקט (obj.__proto__.b = value;), והמאפיין שנקבע באב הטיפוס יהיה גלוי בכל האובייקטים. באופן דומה, אם הקוד מכיל ביטויים כמו "obj[a][b][c] = value", על ידי הגדרת "a" לערך "בנאי" ו-"b" ל"אב-טיפוס" בכל האובייקטים הקיימים, אתה יכול הגדר מאפיין חדש עם השם "c" והערך "value".

דוגמה לשינוי אב הטיפוס: const o1 = {}; const o2 = new Object(); o1.__proto__.x = 42; // צור את המאפיין "x" באב-טיפוס השורש console.log (o2.x); // גישה למאפיין "x" מאובייקט אחר // הפלט יהיה 42, מכיוון שאב הטיפוס השורש שונה באמצעות אובייקט o1, המשמש גם באובייקט o2

דוגמה לקוד פגיע: function entryPoint (arg1, arg2, arg3){ const obj = {}; const p = obj[arg1]; p[arg2] = arg3; החזר p; }

אם הארגומנטים של פונקציית entryPoint נוצרים מנתוני קלט, אז תוקף יכול להעביר את הערך "__proto__" ל-arg1 וליצור מאפיין עם כל שם באב-טיפוס השורש. אם תעביר arg2 את הערך "toString" ו-arg3 את הערך 1, תוכל להגדיר את המאפיין "toString" (Object.prototype.toString=1) ולקרוס את האפליקציה במהלך הקריאה ל-toString().

דוגמאות למצבים שעלולים להוביל לביצוע קוד תוקף כוללות יצירת המאפיינים "main", "shell", "exports", "contextExtensions" ו-"env". לדוגמה, תוקף יכול ליצור מאפיין "ראשי" באב-טיפוס הבסיס של אובייקט, לכתוב בו את הנתיב לסקריפט שלו (Object.prototype.main = "./../../pwned.js") ו מאפיין זה ייקרא בזמן הביצוע בקוד של ה-construct require("my-package"), אם החבילה הכלולה לא מגדירה במפורש את המאפיין "main" ב-package.json (אם המאפיין אינו מוגדר, זה יתקבל מאב הטיפוס השורש). ניתן להחליף את המאפיינים "מעטפת", "ייצוא" ו-"env" באופן דומה: תן rootProto = Object.prototype; rootProto["exports"] = {".":"./changelog.js"}; rootProto["1"] = "/path/to/npm/scripts/"; // להפעיל קריאת require("./target.js"); Object.prototype.main = "/path/to/npm/scripts/changelog.js"; Object.prototype.shell = "צומת"; Object.prototype.env = {}; Object.prototype.env.NODE_OPTIONS = "—inspect-brk=0.0.0.0:1337"; // טריגר call require("bytes");

החוקרים ניתחו 10 חבילות NPM עם המספר הגדול ביותר של תלות ומצאו של-1958 מהן אין מאפיין ראשי ב-package.json, 4420 משתמשים בנתיבים יחסיים בהצהרות הדרוש שלהם, ו-355 משתמשים ישירות ב-API להחלפת הפקודה.

דוגמה עובדת היא ניצול לתקיפת ה-Parse Server העוקף את המאפיין evalFunctions. כדי לפשט את הזיהוי של פגיעויות כאלה, פותחה ערכת כלים המשלבת שיטות ניתוח סטטיות ודינמיות. במהלך בדיקת Node.js, זוהו 11 גאדג'טים שניתן להשתמש בהם כדי לארגן התקפות שמובילות לביצוע הקוד של התוקף. בנוסף ל-Parse Server, זוהו גם שתי נקודות תורפה שניתנות לניצול ב-NPM CLI.

מקור: OpenNet.ru