Uma investigação recente levada a cabo pela equipa de cibersegurança da Endor Labs revelou uma vulnerabilidade de execução remota de código (RCE) na protobuf.js, uma biblioteca de JavaScript amplamente utilizada. Com quase 52 milhões de downloads semanais, esta ferramenta é essencial para serviços como o Google Cloud, o Firebase e várias infraestruturas baseadas em gRPC, o que torna a descoberta particularmente alarmante para a segurança de microsserviços.
O mecanismo de exploração através de esquemas maliciosos
A falha, identificada como GHSA-xq3m-2v4x-88gg, recebeu uma pontuação de gravidade CVSS de 9.4, refletindo o seu elevado risco. Conforme detalhado pelo Hackread, o problema reside na função Type.generateConstructor, que a biblioteca utiliza para construir código JavaScript de forma dinâmica.
Este processo baseia-se no construtor Function, que opera de forma semelhante ao comando eval(), transformando texto em instruções ativas no sistema. Na prática, a biblioteca processa nomes encontrados em ficheiros de dados para acelerar tarefas, mas, como não filtra corretamente esses nomes, abre a porta a ataques. Um atacante pode criar um ficheiro .proto ou JSON onde um nome é, na verdade, um comando oculto. Ao processar este esquema, o sistema acaba por executar o código malicioso sem que seja necessária qualquer interação direta do utilizador.
Riscos para as infraestruturas na nuvem e serviços automatizados
O perigo é real para aplicações que dependem da protobuf.js e que aceitam esquemas de fontes não fidedignas. Isto inclui plataformas multi-inquilino onde os utilizadores podem carregar as suas próprias definições de dados. Se um pirata informático conseguir influenciar o esquema processado, pode obter controlo total através de RCE, permitindo o roubo de credenciais ou a movimentação lateral dentro das redes internas das empresas.
Os investigadores da Endor Labs esclareceram que esta falha não se trata de um ataque à cadeia de abastecimento contra a biblioteca em si, que é legítima e mantida por programadores ligados à Google. O problema reside na forma como a ferramenta processa a informação que lhe é fornecida. Este tipo de vulnerabilidade em ferramentas de desenvolvimento demonstra que o ecossistema tecnológico ainda está a ter dificuldades em internalizar novos modelos de ameaças onde o próprio código de suporte pode ser usado como uma arma.
Nenhum comentário
Seja o primeiro!