OpenRefine и импорт вредоносного кода: работа с данными может привести к компрометации

На днях была публично раскрыта критическая уязвимость в открытом инструменте для очистки и преобразования данных OpenRefine . Недостаток безопасности может привести к произвольному выполнению кода на затронутых системах.

OpenRefine — это бесплатное программное средство с открытым исходным кодом, предназначенное для структуризации данных. Главной особенностью OpenRefine является возможность автоматического выявления и устранения ошибок в данных, а также создания согласованных наборов данных.

Уязвимость, обозначенная как CVE-2023-37476 (CVSS 7.8), представляет собой так называемую «Zip Slip» уязвимость и может оказать неблагоприятное воздействие при импорте специально созданного проекта в версиях OpenRefine 3.7.3 и ниже.

«Хотя OpenRefine предназначен только для локального запуска на компьютере пользователя, злоумышленники могут обмануть пользователя и заставить его импортировать вредоносный файл проекта», — заявил исследователь безопасности из SonarSource , Стефан Шиллер. После импорта этого файла хакеры смогут выполнять произвольный код на машине пользователя.

Программное обеспечение, подверженное уязвимостям Zip Slip, может проложить путь к выполнению кода, воспользовавшись ошибкой обхода каталога, которую злоумышленники затем в состоянии использовать для получения доступа к тем частям файловой системы, которые в ином случае должны быть недоступны.

Суть атаки заключается в том, что извлекаемый код не проходит должной проверки, что может позволить перезаписывать файлы или распаковывать их в непредназначенные места.

Описанная уязвимость в OpenRefine работает с использованием метода «untar» и позволяет записывать файлы вне целевой папки, создав архив с именем файла «../../../../tmp/pwned.»

Также было отмечено, что уязвимость может использоваться для добавления нового пользователя в файл «passwd», добавления SSH -ключа, создания задания «cron» и многого другого.

После ответственного раскрытия 7 июля 2023 года уязвимость была исправлена в версии 3.7.4, выпущенной 17 июля 2023 года. Примечательно, что раскрытие уязвимости в OpenRefine произошло практически одновременно с появлением PoC -кода для пары уже устранённых уязвимостей в Microsoft SharePoint и опасного бага в Apache NiFi , который допускает удалённое выполнение кода через вредоносные строки подключения к базе данных H2.

Пользователям подобного софта рекомендуется регулярно проводить аудиты безопасности, своевременно обновлять программное обеспечение и устранять любые выявленные уязвимости.