Des chercheurs en cybersécurité ont révélé une vulnérabilité critique non corrigée affectant les marchés de logiciels libres et open source (FOSS) basés sur Pling pour la plate-forme Linux qui pourrait être potentiellement exploitée pour organiser des attaques de supply chaine et réaliser l'exécution de code à distance (RCE).
PlingStore permet aux utilisateurs de rechercher et d'installer des logiciels Linux, des thèmes, des icônes et d'autres modules complémentaires qui peuvent ne pas être disponibles au téléchargement via le centre logiciel de la distribution.
Les magasins d'applications basés sur Pling touchés par la faille incluent :
• appimagehub.com
• store.kde.org
• gnome-look.org
• xfce-look.org
• pling.com
« Les places de marché Linux basées sur la plate-forme Pling sont vulnérables à un xss (cross-site scripting) wormable, avec un potentiel d'attaque supply chain », a déclaré Fabian Bräunlein, co-fondateur de Positive Security. "L'application native PlingStore est affectée par une vulnérabilité RCE, qui peut être déclenchée à partir de n'importe quel site Web pendant que l'application est en cours d'exécution."
La vulnérabilité provient de la manière dont la page de listes de produits du magasin analyse les champs HTML ou multimédias intégrés, permettant ainsi potentiellement à un attaquant d'injecter du code JavaScript malveillant qui pourrait entraîner l'exécution de code arbitraire.
"Ce XSS stocké pourrait être utilisé pour modifier les annonces actives ou publier de nouvelles annonces sur le magasin Pling dans le contexte d'autres utilisateurs, ce qui entraînerait un XSS wormable", a déclaré Bräunlein.
Plus troublant, cela pourrait permettre un ver XSS d'attaque supply chaine dans lequel une charge utile JavaScript pourrait être exploitée par un adversaire pour télécharger des versions de logiciels trojanés et modifier les métadonnées de la liste d'une victime pour inclure et propager le code d'attaque.
Security a noté que l'exploit XSS peut être déclenché à partir de l'application,qui lorsqu'il est associé à un contournement du sendbox, pourrait conduire à l'exécution de code à distance. "Comme l'application peut installer d'autres applications, elle dispose d'un autre mécanisme intégré pour exécuter du code au niveau du système d'exploitation", a expliqué Bräunlein. "Il s'avère que ce mécanisme peut être exploité par n'importe quel site Web pour exécuter du code natif arbitraire pendant que l'application PlingStore est ouverte en arrière-plan."
En d'autres termes, lorsqu'un utilisateur visite un site Web malveillant via le navigateur, le XSS est déclenché dans l'application Pling pendant son exécution en arrière-plan. Le code JavaScript du site Web peut non seulement établir une connexion au serveur WebSocket local utilisé pour écouter les messages de l'application, mais il l'utilise également pour envoyer des messages afin d'exécuter du code natif arbitraire en téléchargeant et en exécutant un fichier de package « . AppImage ».
De plus, une faille XSS similaire découverte sur le marché des extensions GNOME Shell pourrait être exploitée pour cibler l'ordinateur de la victime en émettant des commandes malveillantes vers l'extension de navigateur Gnome Shell Integration, et même des extensions publiées de porte dérobée.
La société de cybersécurité basée à Berlin a noté que les failles avaient été signalées aux responsables du projet respectifs le 24 février, avec le projet KDE et GNOME Security publiant des correctifs pour les problèmes après la divulgation. Compte tenu du fait que la faille RCE associée au PlingStore n'a pas encore été résolue, il est recommandé de ne pas exécuter l'application Electron tant qu'un correctif n'est pas en place.