Ontdekking van een kritieke open-source kwetsbaarheid - CVE-2021-46703
YieldDD heeft onlangs een kwetsbaarheid ontdekt in een veelgebruikt open-source softwarepakket. Aanvallers die deze kwetsbaarheid misbruiken, kunnen toegang krijgen tot het systeem van een gebruiker of een bedrijf en de controle over dat systeem overnemen. YieldDD heeft deze ontdekking, via MITRE ATT&CK, gerapporteerd aan het NIST, dat het als kritiek heeft geclassificeerd: CVE-2021-46703.
Een kwetsbaarheid elimineren die kan worden misbruikt door een kwaadwillende aanvaller
Tijdens een software due diligence voor een van onze klanten heeft YieldDD Senior Consultant Gerben van de Wiel een kritieke kwetsbaarheid gevonden in het IsolatedRazorEngine component van Antaris RazorEngine. Deze open-source templating engine maakt het gebruik van Microsoft's Razor syntax mogelijk om dynamische templates te bouwen, bijvoorbeeld e-mails of facturen. Terwijl de isolated component een sandbox creëert, een beveiligingsmechanisme om systeemstoringen en/of softwarekwetsbaarheden tegen te gaan zodat ze zich niet kunnen verspreiden.
Gerben ontdekte echter hoe het mogelijk is om te ontsnappen aan de AppDomain sandbox die wordt gecreëerd door de IsolatedRazorEngine. Hij ontdekte een manier om de mogelijkheid te openen om elke .NET-code aan te roepen zonder de beperking van de sandbox, wat op zijn beurt leidt tot een kwetsbaarheid voor Remote Code Execution. Een kwetsbaarheid die hem mogelijk controle had kunnen geven over het systeem van onze klant. Of elk systeem dat dit component gebruikt. Dit betekent dat een kwaadwillende aanvaller deze kwetsbaarheid zou kunnen misbruiken door bijvoorbeeld malware uit te voeren.
Samen met onze klant hebben we deze kwetsbaarheid verholpen. En we hebben stappen ondernomen om dit risico voor anderen te beperken. YieldDD heeft deze bevinding ingediend bij MITRE ATT&CK, een wereldwijd toegankelijke kennisbank van tactieken en technieken van tegenstanders. Het Amerikaanse National Institute of Standards and Technologies (NIST) heeft het geregistreerd in zijn National Vulnerability Database onder CVE-2021-46703 en als 'kritiek' bestempeld.
De IsolatedRazorEngine component is voor het laatst bijgewerkt in 2017 en wordt niet langer ondersteund door de beheerder. Neem contact met ons op als u wilt weten of dit specifieke probleem risico's voor u oplevert of als u de beveiligingsrisico's van het gebruik van open source code in het algemeen wilt bespreken.
Voor meer gedetailleerde informatie over deze softwarekwetsbaarheid is hier een technische uitleg van Gerben:
Insights
-
Lees verder
-
Lees verder
-
Het meten van de effecten van verduurzaming in softwareontwikkeling
- Software Due Diligence
- Cybersecurity
- Blog
Lees verder -
Lees verder
