هک با یک کلیک روی برنامه‌های دسکتاپ معروف کشف شد، آیا شما از آن‌ها استفاده می‌کنید؟

چندین آسیب‌پذیری با یک کلیک در انواع برنامه‌های نرم‌افزاری معروف کشف شده است که به یک مهاجم اجازه می‌دهد به‌طور بالقوه کد دلخواه را روی سیستم‌های مورد هدف اجرا کند.

این مسائل توسط محققان Positive Security یعنی فابیان برونلین و لوکاس اویلر کشف شده و روی برنامه‌هایی مانند تلگرام، Nextcloud ، VLC ، LibreOffice ، OpenOffice، کیف پول Bitcoin/Dogecoin ، Wireshark و Mumble تأثیر می‌گذارد.

محققان دراین‌باره گفتند[۱] [۱]: “برنامه‌های دسکتاپی که URL های ارائه‌شده توسط کاربر را برای باز کردن توسط سیستم‌عامل منتقل می‌کنند، اغلب در معرض آسیب‌پذیری اجرای کد با تعامل کاربر قرار دارند. اجرای کد می‌تواند به دو روش رخ دهد: هنگامی‌که یک URL که به یک عامل قابل‌اجرای مخرب (.desktop ، .jar ، .exe و غیره) اشاره می‌کند، باز می‌شود و در حقیقت روی یک فایل به اشتراک گذاشته‌ی قابل‌دسترسی در اینترنت (nfs ، webdav ، smb و غیره) میزبانی می‌شود، یا از یک آسیب‌پذیری اضافی در برنامه بازشده URI handler بهره‌برداری می‌شود.”

این نقص‌ها از اعتبار سنجی ناکافی ورودی URL ناشی می‌شود که اگر با کمک سیستم‌عامل پایه باز شود، منجر به اجرای سهوی یک فایل مخرب می‌شود.

تجزیه‌وتحلیل Positive Security نشان داد که بسیاری از برنامه‌ها نتوانستند URL ها را تأیید کنند، درنتیجه به یک مهاجم اجازه می‌دهد یک پیوند خاص ساخته‌شده را نشان دهد که به یک قطعه کد حمله اشاره دارد و درنتیجه کد از راه دور اجرا می‌شود.

به دنبال افشای این آسیب‌پذیری‌ها، اکثر برنامه‌ها اصلاحاتی را برای رفع آن‌ها منتشر کرده‌اند:

• Nextcloud– Fixed in version 3.1.3 of Desktop Client released on February 24 (CVE-2021-22879)
• Telegram – Issue reported on January 11 and subsequently fixed via a server-side change on (or slightly before) February 10
• VLC Player– Issue reported on January 18, with patched version 3.0.13 set for release next week
• OpenOffice – To be fixed in the upcoming 4.1.10 release (CVE-2021-30245)
• LibreOffice– Addressed in Windows, but vulnerable in Xubuntu (CVE-2021-25631)
• Mumble– Fixed in version 1.3.4 released on February 10 (CVE-2021-27229)
• Dogecoin– Fixed in version 1.14.3 released on February 28
• Bitcoin ABC– Fixed in version 0.22.15 released on March 9
• Bitcoin Cash– Fixed in version 23.0.0 (currently in release process)
• Wireshark– Fixed in version 3.4.4 released on March 10 (CVE-2021-22191)
• WinSCP– Fixed in version 5.17.10 released on January 26 (CVE-2021-3331)

محققان دراین‌باره گفتند: “این مسئله چندین لایه را در برنامه کاربردی سیستم هدف قرار می‌دهد، بنابراین برای سازندگان این نرم‌افزارها آسان است که تقصیر را به دیگری منتقل کنند و از تحمیل بار پیاده‌سازی اقدامات پیشگیرانه طفره روند.”

“بااین‌وجود، به دلیل تنوع سیستم‌های سرویس‌گیرنده و وضعیت پیکربندی آن‌ها، بسیار مهم است که هر یک از طرفین درگیر مقداری مسئولیت را بپذیرند و سهم خود را در قالب اقدامات پیشگیرانه ایفا کنند.” مانند اعتبار سنجی URL و جلوگیری از mount شدن خودکارِ اشتراک از راه دور.

منابع

[۱] https://positive.security/blog/url-open-rce

[۲] https://thehackernews.com/2021/04/1-click-hack-found-in-popular-desktop.html