pling store linux

Des chercheurs en cybersécurité ont révélé une vulnérabilité critique non corrigée affectant les marchés de logiciels libres et open source (FOSS) basés sur Pling pour la plate-forme Linux qui pourrait être potentiellement exploitée pour organiser des attaques de la chaîne d’approvisionnement et réaliser l’exécution de code à distance (RCE).

“Les places de marché Linux basées sur la plate-forme Pling sont vulnérables à un wormable [cross-site scripting] avec un potentiel d’attaque de la chaîne d’approvisionnement”, co-fondateur de Positive Security Fabian Bräunlein mentionné dans un article technique publié aujourd’hui. “L’application native PlingStore est affectée par une vulnérabilité RCE, qui peut être déclenchée à partir de n’importe quel site Web pendant que l’application est en cours d’exécution.”

Équipes de débordement de pile

Les magasins d’applications basés sur Pling touchés par la faille incluent :

  • appimagehub.com
  • store.kde.org
  • gnome-look.org
  • xfce-look.org
  • pling.com

PlingStore permet aux utilisateurs de rechercher et d’installer des logiciels Linux, des thèmes, des icônes et d’autres modules complémentaires qui peuvent ne pas être disponibles au téléchargement via le centre logiciel de la distribution.

La vulnérabilité provient de la manière dont la page de listes de produits du magasin analyse les champs HTML ou multimédias intégrés, permettant ainsi potentiellement à un attaquant d’injecter du code JavaScript malveillant qui pourrait entraîner l’exécution de code arbitraire.

pling store linux

“Cette XSS stocké pourrait être utilisé pour modifier les annonces actives ou publier de nouvelles annonces sur la boutique Pling dans le contexte d’autres utilisateurs, ce qui entraînerait un XSS wormable », a déclaré Bräunlein.

Plus troublant, cela pourrait permettre un ver XSS d’attaque de la chaîne d’approvisionnement dans lequel une charge utile JavaScript pourrait être exploitée par un adversaire pour télécharger des versions de logiciels trojanes et modifier les métadonnées de la liste d’une victime pour inclure et propager le code d’attaque.

Avec l’application PlingStore agissant comme une vitrine numérique unique pour tous les magasins d’applications susmentionnés, Positive Security a noté que l’exploit XSS peut être déclenché à partir de l’application qui, lorsqu’il est associé à un contournement du bac à sable, pourrait conduire à l’exécution de code à distance.

Prévenir les violations de données

“Comme l’application peut installer d’autres applications, elle dispose d’un autre mécanisme intégré pour exécuter du code sur le [operating system] niveau “, a expliqué Bräunlein. ” Il s’avère que ce mécanisme peut être exploité par n’importe quel site Web pour exécuter du code natif arbitraire pendant que l’application PlingStore est ouverte en arrière-plan. “

En d’autres termes, lorsqu’un utilisateur visite un site Web malveillant via le navigateur, le XSS est déclenché dans l’application Pling pendant son exécution en arrière-plan. Le code JavaScript du site Web peut non seulement établir une connexion avec le serveur WebSocket local qui est utilisé pour écouter les messages de l’application, il l’utilise également pour envoyer des messages pour exécuter du code natif arbitraire en téléchargeant et en exécutant un fichier de package .AppImage.

pling store linux

De plus, une faille XSS similaire découverte dans le Extensions du shell GNOME marketplace pourrait être utilisé pour cibler l’ordinateur de la victime en émettant des commandes malveillantes vers l’extension de navigateur Gnome Shell Integration et même des extensions publiées de porte dérobée.

La société de cybersécurité basée à Berlin a noté que les failles avaient été signalées aux responsables du projet respectifs le 24 février, avec le projet KDE et GNOME Security. émission de correctifs pour les défauts consécutifs à la divulgation. Compte tenu du fait que la faille RCE associée au PlingStore n’a pas encore été résolue, il est recommandé de ne pas exécuter l’application Electron tant qu’un correctif n’est pas en place.

Le rapport intervient moins d’un mois après que de graves failles de sécurité ont été découvertes dans plusieurs extensions Visual Studio Code populaires qui pourraient permettre aux attaquants de compromettre les machines locales ainsi que de créer et de déployer des systèmes via l’environnement de développement intégré d’un développeur, ouvrant finalement la voie à des attaques de la chaîne d’approvisionnement. .

“[The flaws] démontrer le risque supplémentaire associé à de tels marchés », a déclaré Bräunlein. « Dans cet environnement, même des vulnérabilités relativement petites (par exemple, une vérification de l’origine manquante) peuvent entraîner de graves conséquences (conduite par RCE à partir de n’importe quel navigateur avec l’application vulnérable en arrière-plan) . Les développeurs de telles applications doivent faire preuve d’un niveau élevé de contrôle pour garantir leur sécurité.”



Leave a Reply