A biblioteca jsonwebtoken (JWT) de código aberto, divulgou uma falha de segurança de alta gravidade. Se essa vulnerabilidade fosse explorada com sucesso, poderia levar à execução remota de código em um servidor de destino.
De acordo com um relatório divulgado ontem, Artur Oleyarsh, pesquisador da Unidade 42 da Palo Alto Networks disse:
Ao explorar essa vulnerabilidade, os invasores podem obter a execução remota de código (RCE) em um servidor que verifica uma solicitação de token da Web JSON (JWT) criada com códigos maliciosos.
Falha de alta gravidade encontrada na biblioteca jsonwebtoken
Rastreado como CVE-2022-23529 (pontuação CVSS: 7.6), o problema afeta todas as versões da biblioteca, incluindo e abaixo de 8.5.1, e foi resolvido na versão 9.0.0 enviada em 21 de dezembro de 2022.
Essa falha foi relatada pela empresa de segurança cibernética em 13 de julho de 2022. Para se manter longe dela, você precisa estar com a biblioteca atualizada para a versão mais recente.
O jsonwebtoken, que é desenvolvido e mantido pelo Okta’s Auth0, é um módulo JavaScript que permite aos usuários decodificar, verificar e gerar tokens da Web JSON como um meio de transmissão segura de informações entre duas partes para autorização e autenticação.
Essa biblioteca possui mais de 10 milhões de downloads semanais no registro de software npm e é usado por mais de 22.000 projetos. Portanto, a capacidade de executar código mal-intencionado em um servidor pode quebrar as garantias de confidencialidade e integridade, potencialmente permitindo que um mal-intencionado sobrescreva arquivos arbitrários no host e execute qualquer ação de sua escolha usando uma chave secreta envenenada.
De acordo com Oleyarsh, “para explorar a vulnerabilidade descrita neste post e controlar o valor secretOrPublicKey, um invasor precisará explorar uma falha no processo de gerenciamento de segredo.
À medida que o software de código aberto surge cada vez mais como uma via de acesso inicial lucrativa para os agentes de ameaças realizarem ataques à cadeia de suprimentos, é crucial que as vulnerabilidades nessas ferramentas sejam identificadas, mitigadas e corrigidas proativamente pelos usuários downstream.
Além disso, os cibercriminosos se tornaram muito mais rápidos na exploração de falhas recém-reveladas, diminuindo drasticamente o tempo entre o lançamento de um patch e a disponibilidade da exploração.
De acordo com a Microsoft, leva apenas 14 dias em média para que uma exploração seja detectada após a divulgação pública de um bug. Para combater esse problema de descoberta de vulnerabilidades, o Google, no mês passado, anunciou o lançamento do OSV-Scanner, um utilitário de código aberto que visa identificar todas as dependências transitivas de um projeto e destacar deficiências relevantes que o impactam, lembrou o Bleeping Computer.
