Forscher beim Berliner IT-Sicherheitsunternehmen Positive Security haben eine kritische Schwachstelle im Pling-Store entdeckt, der von App-Stores für freie und quelloffene Software genutzt wird. Die Lücke kann potenziell missbraucht werden, um Supply-Chain-Attacks über eine XSS-Lücke zu inszenieren und Remote Code Execution (RCE) auszuführen.
Kein Kontakt
Da die Entdecker der Lücke seit Februar nicht in der Lage waren, einen Verantwortlichen bei der Firma Hive01, die den Pling-Store betreibt, zu erreichen, gehen sie jetzt mit der bisher ungepatchten Lücke an die Öffentlichkeit. Betroffen sind unter anderem:
- appimagehub.com
- store.kde.org (Discover)
- gnome-look.org
- xfce-look.org
- pling.com
Installation mit einem Mausklick
Pling-Store ermöglicht es Anbietern, Dinge wie Erweiterungen, Themes, Icons oder Mauszeiger mit einem Klick zu installieren, die in den Distributionen selbst vielleicht nicht verfügbar sind. Derzeit werden die Desktops KDE Plasma, Gnome, XFCE, Mate, Cinnamon, Budgie, LXQt, Elementary und Enlightenment unterstützt. Die entdeckte Schwachstelle liegt in der Methode, wie Entwickler im Pling-Store eine App anlegen und Metadaten etwa zur Beschreibung der App im Listenfeld HTML or Embed Media Code anlegen. Dieses Listenfeld lässt sich leicht missbrauchen, um eine XSS-Nutzlast unterzubringen.
Zugriff auf aktive Angebote
Die gespeicherte Nutzlast ließe sich verwenden, um bereits aktive Angebote zu ändern oder neue Angebote im Pling-Speicher im Kontext anderer Benutzer zu veröffentlichen, was zu einem wurmfähigen XSS führt. Neben den typischen XSS-Implikationen würde dies einen Supply-Chain-Attacke-XSS-Wurm mit einer JavaScript-Nutzlast ermöglichen, um trojanisierte Versionen von Software hochzuladen und die Metadaten der Auflistung eines Opfers so zu verändern, dass sie den Angriffscode enthalten und verbreiten.
Über eine Electron-App, die Pling-Store allen Nutzern empfiehlt, gelang es den Forschern, über die XSS-Lücke eine App zu installieren und damit Code auszuführen. Wenn ein Anwender eine bösartige Website besucht, während der Pling-Store im Hintergrund aktiv ist, wird der XSS-Code innerhalb der Pling-App ausgelöst. Der JavaScript-Code in der Website kann nun nicht nur eine Verbindung zum lokalen WebSocket-Server herstellen, der verwendet wird, um Nachrichten von der App abzuhören, sondern er nutzt ihn auch, um Nachrichten zu senden, um beliebigen nativen Code auszuführen, indem er ein AppImage herunterlädt und ausführt.
Auch wenn bei der zu Blue Systems gehörenden Firma Hive01 niemand auf den Versuch, die Lücke zu melden, reagiert hat, so haben die Entwickler von GNOME und KDE die unter CVE-2021-28117 katalogisierte Lücke mittlerweile geschlossen.
Schreibe einen Kommentar