Ontdekking van een kritieke open-source kwetsbaarheid - CVE-2021-46703
YieldDD heeft onlangs een kwetsbaarheid ontdekt in een veelgebruikt open-source softwarepakket. Aanvallers die deze kwetsbaarheid misbruiken krijgen toegang en de controle over het systeem van een gebruiker of bedrijf. YieldDD heeft deze bevinding, via MITRE ATT&CK, gemeld aan het NIST, dat het als "critical" heeft geclassificeerd: CVE-2021-46703.
Tijdens een software due diligence voor een van onze klanten heeft YieldDD Senior Consultant Gerben van de Wiel een ernstige kwetsbaarheid gevonden in het IsolatedRazorEngine component van Antaris RazorEngine. Deze open source templating engine maakt het mogelijk om gebruik te maken van Microsoft's Razor syntax om dynamische templates te bouwen, bijvoorbeeld e-mails of facturen. Terwijl de geïsoleerde component een sandbox creëert, een beveiligingsmechanisme om te voorkomen dat systeemstoringen en/of softwarekwetsbaarheden zich verspreiden
Gerben ontdekte echter hoe het mogelijk is om te ontsnappen aan de AppDomain sandbox gecreëerd door de IsolatedRazorEngine. Hij ontdekte een manier om elke .NET code aan te roepen zonder de restrictie van de sandbox, wat op zijn beurt leidt tot een Remote Code Execution kwetsbaarheid. Een kwetsbaarheid die hem mogelijk controle had kunnen geven over het systeem van onze klant. Of elk systeem dat deze component gebruikt. Dit betekent dat een kwaadwillende aanvaller deze kwetsbaarheid kan misbruiken door bijvoorbeeld malware te verspreiden.
Samen met onze klant hebben we deze kwetsbaarheid verholpen. En we hebben stappen ondernomen om dit risico voor anderen te verkleinen. YieldDD heeft deze bevinding ingediend bij MITRE ATT&CK, een wereldwijd toegankelijke kennisbank van tactieken en technieken van kwaadwillenden. Het Amerikaanse National Institute of Standards and Technologies (NIST) heeft de bevinding geregistreerd in zijn National Vulnerability Database onder CVE-2021-46703 en als 'critical' bestempeld.
De IsolatedRazorEngine component is voor het laatst bijgewerkt in 2017 en wordt niet langer ondersteund door de onderhouder. Om erachter te komen of dit specifieke probleem risico's voor jou met zich meebrengt of om de beveiligingsrisico's te bespreken die gepaard gaan met het gebruik van open source code in het algemeen, kan je vrijblijvend contact met ons opnemen.
Voor meer gedetailleerde informatie over deze softwarekwetsbaarheid, hierbij een technische toelichting van Gerben: