Vulnerabilidad crítica en código de Zapier expuesta: Zenity descubre #ZAPESCAPE

Zenity, líder en el control de la seguridad para el desarrollo no-code y low-code, publicó una vulnerabilidad crítica de escape de sandbox que descubrieron en Code by Zapier. La falla, denominada #ZAPESCAPE , podría haber dado a los atacantes el control total sobre el entorno de ejecución de una organización, otorgándoles potencialmente acceso para manipular los resultados y robar información confidencial.

El equipo de investigación de seguridad de Zenity encontró la vulnerabilidad a mediados de marzo de 2022 dentro de Code by Zapier, un servicio utilizado por Zapier para ejecutar código personalizado como parte de Zap. La explotación de #ZAPESCAPE podría permitir a un usuario tomar el control sobre el entorno de ejecución de código personalizado de un administrador. Además, el exploit podría realizarse a través de la carpeta privada de un usuario, que es inaccesible para los administradores y permanece indetectable.

Michael Bargury, cofundador y CTO de Zenity , dijo: "La vulnerabilidad descubierta por nuestro equipo permitía a cualquier usuario Zapier tomar el control total sobre el entorno de toda su organización. Un usuario podía leer e incluso manipular los zaps del administrador, y el administrador no tengo forma de saberlo".

El equipo de seguridad de Zapier ha sido cercano y rápido al abordar el problema, que ahora se ha mitigado por completo. Esta divulgación se ha coordinado con el equipo Zapier y Zenity confirma que la vulnerabilidad se ha mitigado por completo. Sin embargo, las cuentas de los usuarios de Code by Zapier anteriores al 17 de agosto de 2022 podrían haber sido explotadas.

Bargury agrega que aunque Zapier es una plataforma segura, ninguna plataforma es inmune a las vulnerabilidades. Al crear un Zap, los usuarios deben asumir la responsabilidad de asegurar lo que construyen sobre la plataforma, ya que el desarrollo no-code sigue siendo desarrollo y requiere la adhesión al modelo de responsabilidad compartida.

Como la primera y única plataforma de control de la seguridad para aplicaciones, integraciones y automatización sin código o low-code, Zenity brinda un servicio esencial. Con el auge de las plataformas sin código o low-code, como AppMaster, tanto los desarrolladores profesionales como los ciudadanos pueden crear soluciones de software personalizadas sin un amplio conocimiento de codificación. Sin embargo, esta comodidad conlleva posibles riesgos de seguridad si no se rige y gestiona adecuadamente.

Zenity permite a los profesionales de TI y seguridad tener una visibilidad y un control completos sobre sus activos sin código o low-code. Esto les permite eliminar vulnerabilidades potenciales y adoptar un enfoque más seguro para el desarrollo. La plataforma ofrece características tales como inventario multiplataforma, evaluación continua de riesgos, acciones de remediación automatizadas y libros de jugadas de gobernanza para hacer cumplir las políticas de seguridad a lo largo de todo el ciclo de vida sin código/ low-code.

Fundada por los exlíderes y expertos en ciberseguridad Microsoft, Ben Kliger y Michael Bargury, Zenity es líder en el control de la seguridad para la descentralización de TI. La compañía trabaja con grandes empresas, incluidas corporaciones Fortune 500, y lidera el grupo OWASP Top 10 Low-Code/ No-Code Security Risks.