Oxeye מצאה חולשות קריטיות שחושפות עשרות אלפי משתמשי Harbor של VMware
Harbor הוא פרויקט פופולארי ומוביל בעולם עם דירוג של למעלה מ-18 אלף כוכבים בGithub | החולשות שהתגלו הן מסוג IDOR, חולשה המאפשרת לתוקפים לבצע מספר פעולות תוך כדי עקיפת מנגנוני האבטחה
תמונה: Oxeye
חברת הסייבר Oxeye הודיעה היום על חשיפת מספר חולשות קריטיות בקוד הפתוח Harbor, פרויקט פופולארי בו משתמשים אלפי חברות ואנשים פרטיים בעולם.
פרויקט זה נתמך ע"י ארגון ה-CNCF - Cloud Native Computing Foundation, אשר מוביל את מגמת המעבר לפיתוח בארכיטקטורת ענן מבוזר (Cloud Native) והוא דורג עם למעלה מ-18 אלף כוכבים ב-Github.
החולשות שהתגלו הן מסוג IDOR, חולשה המאפשרת לתוקפים לבצע מספר פעולות תוך כדי עקיפת מנגנוני האבטחה כגון: שליחת בקשה לביצוע פעולה בשם המשתמש, הוצאת פרטים אישיים על המשתמש מהתוכנה או גישה לקוד שמפותח בארגון.
חולשה מסוג IDOR נחשבת לסיכון האבטחה החמור ביותר ברשימת עשרת הסיכונים המובילים הקיימים ברשימה העדכנית של ארגון Open Web Application Security Project.
החולשה שהתגלתה היא במערכת Harbor של חברת התוכנה VMware ונמצאה ע"י חוקרי אבטחת המידע גל גולדשטיין ודניאל אבלס מ-Oxeye. נכון להיום, חברת VMware מחזיקה כ-80% מנתח שוק הווירטואליזציה ומספקת את הפתרון הוותיק והנפוץ ביותר בשוק.
החברה מציעה למשתמשיה ניהול מתקדם של מערכות ומאגרי המידע שלהם בעזרת Harbor ומבטיחה להם הגנה מקסימלית מפני פריצות וכשלי אבטחה, אך כאמור, חוקרי אבטחת המידע של חברת Oxeye, גל גולדשטיין ודניאל אבלס מצאו תוצאות מפתיעות ומסוכנות.
להלן החולשות שהתגלו:
CVE-2022-31671
CVE-2022-31666
CVE-2022-31670
CVE-2022-31669
CVE-2022-31667
רון וידר, CTO ומייסד שותף בחברת Oxeye סיפר כי "בנוסף לבקרת גישה מבוססת תפקידים (RBAC) שחשובה לשמירה על אבטחת מידע, חשוב גם לוודא ולהגן על המערכת מפני פגיעות של מעקף מנגנוני ההרשאות.
״חשוב שבכל מערכת יוטמעו פרקטיקות חזקות יותר הכוללות שימוש בכלי סריקה אוטומטית שמתאימים לאופי האפליקציה, הגדרת הרשאות מתאימות עבור כל ממשק, הדמיית גורמי איומים שיאפשרו לבחון את התפקידים של מקבלי ההרשאות במטרה לשמור להבטיח רמת הגנה מקסימלית למשתמשי המערכת".
חברת Oxeye דיווחה לחברת VMware על החולשות ושני הארגונים שיתפו פעולה באופן מיידי במטרה להגיע לפתרון מהיר ואפקטיבי. בעקבות שיתוף הפעולה של שתי החברות, כלל החולשות טופלו ותוקנו בגרסה האחרונה ששוחררה ל- Harbor וניתן לזיהוי בצורה אוטומטית על ידי הפתרון של חברת Oxeye.
"איכות אבטחת המידע בספריות הקוד הפתוח שלנו ושל שותפינו חיונית לנו ולכל הארגונים שמשתמשים בו. אנו מודים ל-Oxeye ולחוקריה על עבודתם במציאות נקודות תורפה בקוד ועל שיתוף הפעולה המצוין שלהם שסייע לנו יחד לטפל בחולשות במהירות ואפקטיביות", מסר רוג'ר קלורס, מנהל קו המוצרים בפרויקט Harbor בחברת VMware.
לפני כחודש, גילו חוקרי חברת Oxeye את חולשת ParseThru. חולשה משמעותית נוספת בשפת הפיתוח Golang, שפותוחה במקור ע"י חברת גוגל העולמית. גם במקרה זה החוקרים דיווחו לחברה ומצאו פתרון לחולשות.
מידע נוסף על החולשות, אופן גילויין והפתרון ניתן למצוא בבלוג החברה.
Harbor הוא פרויקט פופולארי ומוביל בעולם עם דירוג של למעלה מ-18 אלף כוכבים בGithub | החולשות שהתגלו הן מסוג IDOR, חולשה המאפשרת לתוקפים לבצע מספר פעולות תוך כדי עקיפת מנגנוני האבטחה
תמונה: Oxeye
חברת הסייבר Oxeye הודיעה היום על חשיפת מספר חולשות קריטיות בקוד הפתוח Harbor, פרויקט פופולארי בו משתמשים אלפי חברות ואנשים פרטיים בעולם.
פרויקט זה נתמך ע"י ארגון ה-CNCF - Cloud Native Computing Foundation, אשר מוביל את מגמת המעבר לפיתוח בארכיטקטורת ענן מבוזר (Cloud Native) והוא דורג עם למעלה מ-18 אלף כוכבים ב-Github.
החולשות שהתגלו הן מסוג IDOR, חולשה המאפשרת לתוקפים לבצע מספר פעולות תוך כדי עקיפת מנגנוני האבטחה כגון: שליחת בקשה לביצוע פעולה בשם המשתמש, הוצאת פרטים אישיים על המשתמש מהתוכנה או גישה לקוד שמפותח בארגון.
חולשה מסוג IDOR נחשבת לסיכון האבטחה החמור ביותר ברשימת עשרת הסיכונים המובילים הקיימים ברשימה העדכנית של ארגון Open Web Application Security Project.
החולשה שהתגלתה היא במערכת Harbor של חברת התוכנה VMware ונמצאה ע"י חוקרי אבטחת המידע גל גולדשטיין ודניאל אבלס מ-Oxeye. נכון להיום, חברת VMware מחזיקה כ-80% מנתח שוק הווירטואליזציה ומספקת את הפתרון הוותיק והנפוץ ביותר בשוק.
החברה מציעה למשתמשיה ניהול מתקדם של מערכות ומאגרי המידע שלהם בעזרת Harbor ומבטיחה להם הגנה מקסימלית מפני פריצות וכשלי אבטחה, אך כאמור, חוקרי אבטחת המידע של חברת Oxeye, גל גולדשטיין ודניאל אבלס מצאו תוצאות מפתיעות ומסוכנות.
להלן החולשות שהתגלו:
CVE-2022-31671
CVE-2022-31666
CVE-2022-31670
CVE-2022-31669
CVE-2022-31667
רון וידר, CTO ומייסד שותף בחברת Oxeye סיפר כי "בנוסף לבקרת גישה מבוססת תפקידים (RBAC) שחשובה לשמירה על אבטחת מידע, חשוב גם לוודא ולהגן על המערכת מפני פגיעות של מעקף מנגנוני ההרשאות.
״חשוב שבכל מערכת יוטמעו פרקטיקות חזקות יותר הכוללות שימוש בכלי סריקה אוטומטית שמתאימים לאופי האפליקציה, הגדרת הרשאות מתאימות עבור כל ממשק, הדמיית גורמי איומים שיאפשרו לבחון את התפקידים של מקבלי ההרשאות במטרה לשמור להבטיח רמת הגנה מקסימלית למשתמשי המערכת".
חברת Oxeye דיווחה לחברת VMware על החולשות ושני הארגונים שיתפו פעולה באופן מיידי במטרה להגיע לפתרון מהיר ואפקטיבי. בעקבות שיתוף הפעולה של שתי החברות, כלל החולשות טופלו ותוקנו בגרסה האחרונה ששוחררה ל- Harbor וניתן לזיהוי בצורה אוטומטית על ידי הפתרון של חברת Oxeye.
"איכות אבטחת המידע בספריות הקוד הפתוח שלנו ושל שותפינו חיונית לנו ולכל הארגונים שמשתמשים בו. אנו מודים ל-Oxeye ולחוקריה על עבודתם במציאות נקודות תורפה בקוד ועל שיתוף הפעולה המצוין שלהם שסייע לנו יחד לטפל בחולשות במהירות ואפקטיביות", מסר רוג'ר קלורס, מנהל קו המוצרים בפרויקט Harbor בחברת VMware.
לפני כחודש, גילו חוקרי חברת Oxeye את חולשת ParseThru. חולשה משמעותית נוספת בשפת הפיתוח Golang, שפותוחה במקור ע"י חברת גוגל העולמית. גם במקרה זה החוקרים דיווחו לחברה ומצאו פתרון לחולשות.
מידע נוסף על החולשות, אופן גילויין והפתרון ניתן למצוא בבלוג החברה.
