私人IP用户应更新以防止其应用程序溢出内部数据
私人IP中的脆弱性,一个受欢迎的开源NPM node.js应用程序,打开了门攻击者以执行多个服务器端请求伪造(SSRF)研究人员警告说。
该软件包平均每周下载14,000个,用于检查IP地址是否是私有的,并限制了与应用程序内部资源进行交互的任何私有IP地址。
发现私人IP包含一个脆弱性这可以使攻击者能够不断规避软件包的IP块机制并执行SSRF技术。
有缺陷的逻辑
SSRF允许攻击者诱导服务器端应用程序以向攻击者选择的任意域提出HTTP请求。
这可能会导致未经授权的操作或组织内的数据访问 - 在脆弱的应用程序本身或应用程序可以与之通信的其他后端系统中。
私人IP中的脆弱性(CVE-2020-28360)还可以允许远程攻击者请求服务器端资源,并可能执行任意代码。
博客文章解释说,使用包含多个零的有效载荷是滥用SSRF漏洞时绕过本地主机阻止的经典方法。
问题归结为一个事实,即包装的IP阻滞机制并未考虑有效载荷的变化。
研究人员解释说:“该代码逻辑是利用简单的正则表达式,因此不考虑当地主机和其他私人IP范围的变化。”
“这意味着攻击者可以混淆有效载荷或利用块列表以外的范围成功执行SSRF[保护]绕行。”
多个旁路
安全研究员约翰·杰克逊(John Jackson)是发现该错误的团队的一员每日swbeplay2018官网ig漏洞是由于包装中的固有缺陷所致。
他说:“剥削与使用Localhost的变体一样简单,例如http://0000.0000.0000.0000,带有SSRF漏洞问题的服务器上所需的路径。”
“这只是许多有效载荷之一。有关的部分是组织依靠此软件包可以一次修复一个有效载荷,因此仍然存在许多其他有效载荷来触发SSRF。”
杰克逊(Jackson)警告说,如果没有援助,使用弱势版本的私人IP作为防止SSRF攻击的手段,企业将使自己开放。
更新!
在研究人员与私人IP的维护者之间进行了协调的披露,现在已经解决了问题。
敦促用户更新到最新版本马上。
研究人员解释说:“试图[利用] SSRF漏洞的黑客现在将有一个非常困难的时期,因为即使编码为十六进制等的有效负载也将被视为IP地址,就像没有编码一样,触发条件块。”
