Kritická zraniteľnosť v knižnici sieťovej masky, npm balíčku Netmask

30. marca 2021

Victor Viale, Sick Codes, Nick Sahler, Kelly Kaoundis a John Jackson informovali o kritickej zraniteľnosti npm knižnice masky siete, ktorá môže umožniť útočníkovi obísť určité mechanizmy ochrany siete a následne na ňu vykonať útoky. Knižnica npm netmask je využívaná po celom svete a má na konte stovky miliónov stiahnutí.

Dôsledky

Kompromitácia siete
Únik dát

Opis činnosti
CVE-2021-28918 / CVE-2021-29418

V knižnici pre spracovanie IPv4 adries a blokov CIDR npm netmask bola nájdená kritická zraniteľnosť v spôsobe, akým knižnica narába s IP adresami v zmiešanom formáte, alebo pokiaľ adresa IPv4 obsahuje na začiatku nulu. Adresa IPv4 sa dá zapísať rôznymi číselnými sústavami. Zraniteľnosť sa nachádza práve v nesprávnom konvertovaní vstupu IP adresy zapísanej v osmičkovej číselnej sústave. Nesprávne konvertovanie IP adresy by mohlo umožniť neautentifikovanému vzdialenému útočníkovi vykonať útoky SSRF (Server-side request forgery), RFI (Remote file inclusion) alebo LFI (Local file inclusion). Vzdialený autentifikovaný, alebo neautentifikovaný útočník môže obísť mechanizmy, ktoré sa pri filtrovaní blokov IP adries spoliehajú na knižnicu netmask a tak sa dostať na intranet, VPN, systémové kontajnery a ďalšie zariadenia v sieti LAN či obísť firewallom blokované IP adresy.

Zraniteľné systémy

npm netmask v1.1.0 (opravená verzia npm netmask v2.0.1)

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik citlivých informácií

Odporúčania

Aktualizácia npm balíčka Netmask
Kontrola podozrivých prístupov na sieti

Odkazy
https://sick.codes/sick-2021-011
https://www.bleepingcomputer.com/news/security/critical-netmask-networking-bug-impacts-thousands-of-applications/