Спецпроекты

ПО Свободное ПО Безопасность

В опенсорсном «убийце» Google Docs найден способ кражи аккаунтов и документов

В сервисе Etherpads для коллективной работы над документами выявлены две критические уязвимости, которые позволяют перехватывать контроль над административными аккаунтами. Исправлена пока только одна из них.

Бродячая альтернатива

В популярном онлайн-редакторе документов Etherpad выявлены две уязвимости, позволяющие захватывать административные аккаунты и красть файлы. В частности, одна из уязвимостей допускает запуск произвольного кода на сервере, на котором работает Etherpad, что позволит производить любые манипуляции с данными. Опасности подвергаются также системы, доступные с самого сервера.

Etherpad часто называют «альтернативой Google Docs». Это многопользовательский опенсорсный редактор, позволяющий одновременное редактирование одного и того же документа множеством людей.

В 2008 г. Google выкупил Etherpad для интеграции в проект Google Wave, который, однако, просуществовал лишь до 2012 г.; впоследствии он был передан Apache для дальнейшего развития, которое, впрочем, тоже не задалось.

edo600.jpg
В «альтернативе Google Docs» выявлены критические уязвимости

Центральный сервер Etherpad перестал функционировать в мае 2010 г., однако еще в конце 2009 г. исходный код Etherpad был выпущен под лицензией Apache License 2.0, после чего начали множиться частные серверы Etherpad. На сегодняшний день все желающие могут использовать свой сервер или же задействовать специализированные сторонние сервисы.

XSS и инъекция аргумента

Выявленные в Etherpad уязвимости получили индексы CVE-2021-34816 и CVE-2021-34817. Первая, относящаяся к классу «инъекция аргумента», возникла из-за ошибки в процедуре установки плагинов через команду npminstall. Инсталлятор не производит надлежащей проверки данных, так что у злоумышленников появляется возможность установить вредоносный плагин, в том числе с удаленного сервера. Это может привести к запуску вредоносного кода или системных команд и, как следствие, к полной компрометации локальной инсталляции Etherpad и всех ее данных.

Вторая уязвимость относится к классу XSS (ошибка кросс-скриптинга). Злоумышленник может создавать вредоносный документ, через который в браузере потенциальной жертвы может запускаться произвольный код (в частности скрипты Java Script), что позволяет считывать или модифицировать данные от лица жертвы.

Комбинация из этих уязвимостей в теории позволяет злоумышленнику перехватить контроль над административным аккаунтом (если он есть) и через него производить вредоносные манипуляции уже на сервере.

CVE-2021-34817 была устранена в обновлении 1.8.14, выпущенном в начале июля. CVE-2021-34816 еще только ожидает исправления. Эксплуатация этой уязвимости, впрочем, потребует значительно больших усилий со стороны потенциальных злоумышленников.

«В обоих случаях речь идет о распространенных ошибках в программировании, связанных с недостаточной проверкой и очисткой вводимых данных, — отмечает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Ошибки подобного рода легко избежать при правильном подходе к написанию кода. Для сетевых сервисов это вдвойне важно, поскольку злонамеренная эксплуатация ошибок может дорого обходиться не только владельцам, но и всем пользователям сервиса».

Роман Георгиев

Короткая ссылка