Kritische Schwachstelle im Code von Zapier aufgedeckt: Zenity deckt #ZAPESCAPE auf

Zenity, ein Vorreiter in der Sicherheitsverwaltung für no-code und low-code Entwicklung, veröffentlichte eine kritische Sandbox-Escape-Schwachstelle, die sie in Code by Zapier entdeckt hatten. Der als #ZAPESCAPE bezeichnete Fehler hätte Angreifern die volle Kontrolle über die Ausführungsumgebung einer Organisation geben und ihnen möglicherweise Zugriff gewähren können, um Ergebnisse zu manipulieren und vertrauliche Informationen zu stehlen.

Das Sicherheitsforschungsteam von Zenity fand die Schwachstelle Mitte März 2022 in Code by Zapier, einem Dienst, der von Zapier verwendet wird, um benutzerdefinierten Code als Teil eines Zap auszuführen. Die Nutzung von #ZAPESCAPE könnte es einem Benutzer ermöglichen, die Kontrolle über die Ausführungsumgebung für benutzerdefinierten Code eines Administrators zu übernehmen. Darüber hinaus könnte der Exploit über den privaten Ordner eines Benutzers ausgeführt werden, der für Administratoren nicht zugänglich ist und nicht entdeckt werden kann.

Michael Bargury, Mitbegründer und CTO von Zenity , sagte: „Die von unserem Team entdeckte Schwachstelle ermöglichte es jedem Zapier Benutzer, die vollständige Kontrolle über die Umgebung seiner gesamten Organisation zu übernehmen. Ein Benutzer konnte die Zaps des Administrators lesen und sogar manipulieren, und der Administrator würde dies tun keine Ahnung davon haben."

Das Sicherheitsteam von Zapier hat sich umgehend und umgehend um das Problem gekümmert, das nun vollständig gemildert wurde. Diese Offenlegung wurde mit dem Zapier Team koordiniert, und Zenity bestätigt, dass die Schwachstelle vollständig gemindert wurde. Allerdings könnten Benutzerkonten von Code by Zapier vor dem 17. August 2022 ausgenutzt worden sein.

Bargury fügt hinzu, dass Zapier zwar eine sichere Plattform ist, aber keine Plattform vor Schwachstellen gefeit ist. Beim Erstellen eines Zap müssen Benutzer die Verantwortung dafür übernehmen, das zu sichern, was sie auf der Plattform aufbauen, da no-code Entwicklung immer noch eine Entwicklung ist und die Einhaltung des Modells der gemeinsamen Verantwortung erfordert.

Als erste und einzige Security-Governance-Plattform für No-Code-/ low-code Anwendungen, Integrationen und Automatisierung bietet Zenity einen wesentlichen Service. Mit dem Aufkommen von No-Code-/ low-code Plattformen wie AppMaster können sowohl professionelle als auch private Entwickler maßgeschneiderte Softwarelösungen ohne umfangreiche Programmierkenntnisse erstellen. Dieser Komfort ist jedoch mit potenziellen Sicherheitsrisiken verbunden, wenn er nicht angemessen geregelt und verwaltet wird.

Zenity ermöglicht IT- und Sicherheitsexperten eine umfassende Transparenz und Kontrolle über ihre No-Code-/ low-code Bestände. Dadurch können sie potenzielle Schwachstellen beseitigen und einen sichereren Entwicklungsansatz verfolgen. Die Plattform bietet Funktionen wie plattformübergreifendes Inventar, kontinuierliche Risikobewertung, automatisierte Korrekturmaßnahmen und Governance-Playbooks, um Sicherheitsrichtlinien während des gesamten No-Code-/ low-code Lebenszyklus durchzusetzen.

Zenity wurde von den ehemaligen Cybersecurity-Führungskräften und -Experten Microsoft, Ben Kliger und Michael Bargury, gegründet und ist führend im Bereich Security Governance für die IT-Dezentralisierung. Das Unternehmen arbeitet mit großen Unternehmen zusammen, darunter Fortune-500-Unternehmen, und leitet die OWASP Top 10 Low-Code/ No-Code Sicherheitsrisikogruppe.