Neu entdeckte Bugs in VSCode-Erweiterungen können zu Angriffen auf die Lieferkette führen

Cyber Security News

Schwerwiegende Sicherheitslücken, die in beliebten Visual Studio Code-Erweiterungen entdeckt wurden, könnten es Angreifern ermöglichen, über die integrierte Entwicklungsumgebung (IDE) eines Entwicklers sowohl lokale Rechner als auch Build- und Deployment-Systeme zu kompromittieren.

Die verwundbaren Erweiterungen könnten ausgenutzt werden, um beliebigen Code auf dem System eines Entwicklers aus der Ferne auszuführen, was letztlich den Weg für Supply-Chain-Angriffe ebnen könnte.

Einige der betroffenen Erweiterungen sind “LaTeX Workshop”, “Rainbow Fart”, “Open in Default Browser” und “Instant Markdown”, die alle zusammen etwa zwei Millionen Installationen aufweisen.

“Entwickler-Maschinen halten in der Regel bedeutende Anmeldeinformationen, die es ihnen (direkt oder indirekt) erlauben, mit vielen Teilen des Produkts zu interagieren”, sagten Forscher der Open-Source-Sicherheitsplattform Synk in einem Deep-Dive, der am 26. Mai veröffentlicht wurde. “Das Lecken des privaten Schlüssels eines Entwicklers kann es einem böswilligen Akteur ermöglichen, wichtige Teile der Codebasis zu klonen oder sich sogar mit Produktionsservern zu verbinden.”

[Blocked Image: https://thehackernews.com/images/-2ibgW7bDKMc/YHc_0pMR5EI/AAAAAAAA3w8/EE6wVpkGbUY0VZP5aow4-q3xEzY1SGWFwCLcBGAsYHQ/s728-e100/thn-728-6.png]

VS Code-Erweiterungen ermöglichen es Entwicklern, ähnlich wie Browser-Add-ons, den Quellcode-Editor Visual Studio Code von Microsoft mit zusätzlichen Funktionen wie Programmiersprachen und Debuggern zu erweitern, die für ihre Entwicklungsabläufe relevant sind. VS Code wird von 14 Millionen aktiven Nutzern verwendet, was eine riesige Angriffsfläche darstellt.

Die von Synk erarbeiteten Angriffsszenarien setzen auf die Möglichkeit, dass die installierten Erweiterungen als Vektor für Supply-Chain-Angriffe missbraucht werden können, indem Schwachstellen in den Plugins ausgenutzt werden, um effektiv in ein Entwicklersystem einzubrechen. Zu diesem Zweck untersuchten die Forscher VS-Code-Erweiterungen, die anfällige Implementierungen von lokalen Webservern aufwiesen.

In einem von den Synk-Forschern identifizierten Fall konnte eine Path-Traversal-Schwachstelle in Instant Markdown von einem ruchlosen Akteur mit Zugriff auf den lokalen Webserver (auch bekannt als localhost) ausgenutzt werden, um jede auf dem Rechner gehostete Datei abzurufen, indem er einen Entwickler einfach dazu brachte, auf eine bösartige URL zu klicken.

[Blocked Image: https://thehackernews.com/images/-5m41gZi09a8/YK888BsKf8I/AAAAAAAACpk/B1TyW_8KZCsRIewOkFj0U7C5We_820HsACLcBGAsYHQ/s0/code.jpg]

Als Proof-of-Concept (PoC)-Demonstration zeigten die Forscher, dass es möglich ist, diese Schwachstelle auszunutzen, um SSH-Schlüssel von einem Entwickler zu stehlen, der VS Code ausführt und Instant Markdown oder Open in Default Browser in der IDE installiert hat. LaTeX Workshop hingegen war anfällig für eine Schwachstelle bei der Befehlsinjektion, die auf nicht sanitisierte Eingaben zurückzuführen ist und zum Ausführen bösartiger Payloads ausgenutzt werden kann.

Schließlich wurde bei einer Erweiterung namens Rainbow Fart eine Zip-Slip-Schwachstelle festgestellt, die es einem Angreifer ermöglicht, beliebige Dateien auf dem Rechner eines Opfers zu überschreiben und Remotecodeausführung zu erlangen. In einem von den Forschern formulierten Angriff wurde eine speziell erstellte ZIP-Datei über einen vom Plugin verwendeten “import-voice-package”-Endpunkt gesendet und an einen Ort geschrieben, der sich außerhalb des Arbeitsverzeichnisses der Erweiterung befindet.

“Dieser Angriff könnte genutzt werden, um Dateien wie ‘.bashrc’ zu überschreiben und schließlich Remotecodeausführung zu erlangen”, so die Forscher.

Obwohl die Schwachstellen in den Erweiterungen inzwischen behoben wurden, sind die Ergebnisse wichtig im Hinblick auf eine Reihe von Sicherheitsvorfällen, die zeigen, wie Entwickler zu einem lukrativen Angriffsziel geworden sind, da Bedrohungsakteure eine Vielzahl von Schadprogrammen einsetzen, um Entwicklungswerkzeuge und -umgebungen für andere Kampagnen zu kompromittieren.

“Was für Abhängigkeiten von Drittanbietern klar war, ist jetzt auch für IDE-Plugins klar – sie stellen ein inhärentes Risiko für eine Anwendung dar”, so die Synk-Forscher Raul Onitza-Klugman und Kirill Efimov. “Sie sind potenziell gefährlich, sowohl wegen ihrer eigens geschriebenen Codestücke als auch wegen der Abhängigkeiten, auf denen sie aufbauen. Was hier für VS Code gezeigt wurde, könnte auch auf andere IDEs anwendbar sein, was bedeutet, dass die blinde Installation von Erweiterungen oder Plugins nicht sicher ist (und es auch nie war).”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com