Vulnérabilité critique dans le code par Zapier exposée : Zenity découvre #ZAPESCAPE

Zenity, un pionnier de la gouvernance de la sécurité pour le développement no-code et low-code, a rendu public une vulnérabilité critique d'évasion du bac à sable découverte dans Code by Zapier. La faille, surnommée #ZAPESCAPE , aurait pu donner aux attaquants un contrôle total sur l'environnement d'exécution d'une organisation, leur accordant potentiellement un accès pour manipuler les résultats et voler des informations sensibles.

L'équipe de recherche en sécurité de Zenity a découvert la vulnérabilité à la mi-mars 2022 dans Code by Zapier, un service utilisé par Zapier pour exécuter du code personnalisé dans le cadre d'un Zap. L'exploitation de #ZAPECAPE pourrait permettre à un utilisateur de prendre le contrôle de l'environnement d'exécution de code personnalisé d'un administrateur. De plus, l'exploit pourrait être effectué via le dossier privé d'un utilisateur, qui est inaccessible aux administrateurs, restant indétectable.

Michael Bargury, co-fondateur et CTO de Zenity , a déclaré : « La vulnérabilité découverte par notre équipe permettait à n'importe quel utilisateur Zapier de prendre le contrôle total de l'ensemble de l'environnement de son organisation. Un utilisateur pouvait lire et même manipuler les zaps de l'administrateur, et l'administrateur n'ont aucun moyen de le savoir."

L'équipe de sécurité de Zapier a été ouverte et rapide pour résoudre le problème, qui a maintenant été complètement atténué. Cette divulgation a été coordonnée avec l'équipe Zapier, et Zenity confirme que la vulnérabilité a été entièrement atténuée. Cependant, les comptes des utilisateurs de Code by Zapier antérieurs au 17 août 2022 pourraient avoir été exploités.

Bargury ajoute que bien que Zapier soit une plate-forme sécurisée, aucune plate-forme n'est à l'abri des vulnérabilités. Lors de la création d'un Zap, les utilisateurs doivent assumer la responsabilité de sécuriser ce qu'ils construisent au-dessus de la plate-forme, car le développement no-code est toujours un développement et nécessite l'adhésion au modèle de responsabilité partagée.

En tant que première et unique plate-forme de gouvernance de la sécurité pour les applications, les intégrations et l'automatisation no-code/ low-code, Zenity fournit un service essentiel. Avec l'essor des plates-formes sans code/ low-code telles AppMaster, les développeurs professionnels et citoyens peuvent créer des solutions logicielles personnalisées sans connaissances approfondies en matière de codage. Cependant, cette commodité s'accompagne de risques de sécurité potentiels si elle n'est pas correctement régie et gérée.

Zenity permet aux professionnels de l'informatique et de la sécurité d'avoir une visibilité et un contrôle complets sur leurs domaines no-code/ low-code. Cela leur permet d'éliminer les vulnérabilités potentielles et d'adopter une approche de développement plus sûre. La plate-forme offre des fonctionnalités telles que l'inventaire multiplateforme, l'évaluation continue des risques, les actions de correction automatisées et les manuels de gouvernance pour appliquer les politiques de sécurité tout au long du cycle de vie sans code/ low-code.

Fondée par Ben Kliger et Michael Bargury, anciens dirigeants et experts en cybersécurité Microsoft, Zenity est un leader de la gouvernance de la sécurité pour la décentralisation informatique. La société travaille avec de grandes entreprises, y compris des sociétés Fortune 500, et dirige le groupe OWASP Top 10 Low-Code/ No-Code Security Risks.