நோட்-நெட்மாஸ்க் NPM தொகுப்பு, வாரத்திற்கு சுமார் 3 மில்லியன் பதிவிறக்கங்களைக் கொண்டுள்ளது மற்றும் GitHub இல் 270 ஆயிரத்துக்கும் மேற்பட்ட திட்டங்களின் சார்புநிலையாகப் பயன்படுத்தப்படுகிறது, இது நெட்மாஸ்க்கைப் பயன்படுத்தும் சோதனைகளைத் தவிர்க்க அனுமதிக்கும் (CVE-2021-28918) பாதிப்பைக் கொண்டுள்ளது. முகவரி வரம்புகள் அல்லது வடிகட்டுதல் நிகழ்வைத் தீர்மானிக்க. நோட்-நெட்மாஸ்க் 2.0.0 வெளியீட்டில் சிக்கல் சரி செய்யப்பட்டது.
பாதிப்பானது வெளிப்புற ஐபி முகவரியை உள் நெட்வொர்க்கிலிருந்து ஒரு முகவரியாகக் கருதுகிறது மற்றும் நேர்மாறாகவும், மற்றும் SSRF (சர்வர்-சைட் கோரிக்கை மோசடி), RFI ஐ செயல்படுத்த பயன்பாட்டில் உள்ள நோட்-நெட்மாஸ்க் தொகுதியைப் பயன்படுத்துவதற்கான ஒரு குறிப்பிட்ட தர்க்கத்துடன். (தொலை கோப்பு உள்ளடக்கம்) மற்றும் LFI (உள்ளூர் கோப்பு உள்ளடக்கம்) தாக்குதல்கள் ) உள் நெட்வொர்க்கில் உள்ள ஆதாரங்களை அணுகவும் மற்றும் செயல்படுத்தல் சங்கிலியில் வெளிப்புற அல்லது உள்ளூர் கோப்புகளை உள்ளடக்கவும். சிக்கல் என்னவென்றால், விவரக்குறிப்பின்படி, பூஜ்ஜியத்தில் தொடங்கும் முகவரி சரம் மதிப்புகள் எண்ம எண்களாக விளக்கப்பட வேண்டும், ஆனால் நோட்-நெட்மாஸ்க் தொகுதி இதை கணக்கில் எடுத்துக்கொள்ளாது மற்றும் அவற்றை தசம எண்களாகக் கருதுகிறது.
எடுத்துக்காட்டாக, தாக்குபவர் "0177.0.0.1" மதிப்பைக் குறிப்பிடுவதன் மூலம் உள்ளூர் ஆதாரத்தைக் கோரலாம், இது "127.0.0.1" க்கு ஒத்திருக்கும், ஆனால் "நோட்-நெட்மாஸ்க்" தொகுதி பூஜ்யத்தை நிராகரித்து, 0177.0.0.1″ ஐ " 177.0.0.1", அணுகல் விதிகளை மதிப்பிடும் போது பயன்பாட்டில், "127.0.0.1" உடன் அடையாளத்தை தீர்மானிக்க முடியாது. இதேபோல், தாக்குபவர் “0127.0.0.1” முகவரியைக் குறிப்பிடலாம், இது “87.0.0.1” ஐப் போலவே இருக்க வேண்டும், ஆனால் “நோட்-நெட்மாஸ்க்” தொகுதியில் “127.0.0.1” எனக் கருதப்படும். இதேபோல், "012.0.0.1" ("10.0.0.1" க்கு சமம், ஆனால் காசோலையின் போது 12.0.0.1 ஆக செயலாக்கப்படும்) போன்ற மதிப்புகளைக் குறிப்பிடுவதன் மூலம் அக முகவரிகளுக்கான அணுகலுக்கான காசோலையை ஏமாற்றலாம்.
சிக்கலைக் கண்டறிந்த ஆராய்ச்சியாளர்கள் சிக்கலை பேரழிவு என்று அழைக்கிறார்கள் மற்றும் பல தாக்குதல் காட்சிகளை வழங்குகிறார்கள், ஆனால் அவர்களில் பெரும்பாலோர் ஊகமாக இருக்கிறார்கள். எடுத்துக்காட்டாக, உள்ளீட்டு கோரிக்கையின் அளவுருக்கள் அல்லது தரவின் அடிப்படையில் ஒரு ஆதாரத்தைக் கோர வெளிப்புற இணைப்புகளை நிறுவும் Node.js-அடிப்படையிலான பயன்பாட்டைத் தாக்கும் சாத்தியம் பற்றி இது பேசுகிறது, ஆனால் பயன்பாடு குறிப்பாக பெயரிடப்படவில்லை அல்லது விரிவாக இல்லை. உள்ளிடப்பட்ட ஐபி முகவரிகளின் அடிப்படையில் வளங்களை ஏற்றும் பயன்பாடுகளை நீங்கள் கண்டாலும், உள்ளூர் நெட்வொர்க்குடன் இணைக்காமல் அல்லது "மிரர்" ஐபி முகவரிகளின் கட்டுப்பாட்டைப் பெறாமல், நடைமுறையில் பாதிப்பை எவ்வாறு பயன்படுத்திக் கொள்ளலாம் என்பது முற்றிலும் தெளிவாகத் தெரியவில்லை.
87.0.0.1 (டெலிகாம் இத்தாலியா) மற்றும் 0177.0.0.1 (பிரேசில் டெலிகாம்) ஆகியவற்றின் உரிமையாளர்கள் 127.0.0.1க்கான அணுகல் கட்டுப்பாட்டைத் தவிர்க்க முடியும் என்று ஆராய்ச்சியாளர்கள் கருதுகின்றனர். மிகவும் யதார்த்தமான சூழ்நிலையானது, பல்வேறு பயன்பாட்டுப் பக்க பிளாக் பட்டியல்களைத் தவிர்ப்பதற்கான பாதிப்பைப் பயன்படுத்துவதாகும். NPM தொகுதி "பிரைவேட்-ஐபி" இல் இன்ட்ராநெட் வரம்புகளின் வரையறையைப் பகிர்வதற்கும் சிக்கலைப் பயன்படுத்தலாம்.
ஆதாரம்: opennet.ru