जैपियर द्वारा कोड में गंभीर भेद्यता उजागर: जेनिटी ने #ZAPESCAPE को उजागर किया

Zenity, no-code और low-code विकास के लिए सुरक्षा प्रशासन में अग्रणी, एक महत्वपूर्ण सैंडबॉक्स-एस्केप भेद्यता का प्रचार किया जिसे उन्होंने Zapier द्वारा कोड में खोजा था। दोष, जिसे #ZAPESCAPE कहा जाता है, हमलावरों को एक संगठन के निष्पादन वातावरण पर पूर्ण नियंत्रण दे सकता है, संभावित रूप से उन्हें परिणामों में हेरफेर करने और संवेदनशील जानकारी चोरी करने की अनुमति देता है।

Zenity की सुरक्षा अनुसंधान टीम ने मार्च 2022 के मध्य में Zapier द्वारा कोड के भीतर भेद्यता का पता लगाया, Zapier द्वारा जैप के हिस्से के रूप में कस्टम कोड को निष्पादित करने के लिए उपयोग की जाने वाली सेवा। #ZAPESCAPE का शोषण एक उपयोगकर्ता को व्यवस्थापक के कस्टम कोड निष्पादन वातावरण पर नियंत्रण हासिल करने में सक्षम बना सकता है। इसके अलावा, शोषण एक उपयोगकर्ता के निजी फ़ोल्डर के माध्यम से किया जा सकता है, जो कि व्यवस्थापक के लिए दुर्गम है, शेष ज्ञानी नहीं है।

Zenity के सह-संस्थापक और सीटीओ, Michael Bargury कहा, "हमारी टीम द्वारा खोजी गई भेद्यता ने किसी भी Zapier उपयोगकर्ता को अपने पूरे संगठन के वातावरण पर पूर्ण नियंत्रण रखने की अनुमति दी। एक उपयोगकर्ता व्यवस्थापक के अंतराल को पढ़ सकता है और यहां तक कि हेरफेर भी कर सकता है, और व्यवस्थापक इसके बारे में जानने का कोई तरीका नहीं है।"

Zapier की सुरक्षा टीम इस मुद्दे को हल करने के लिए तत्पर और तत्पर रही है, जिसे अब पूरी तरह से कम कर दिया गया है। इस प्रकटीकरण को Zapier टीम के साथ समन्वित किया गया है, और Zenity पुष्टि की है कि भेद्यता को पूरी तरह से कम कर दिया गया है। हालाँकि, 17 अगस्त, 2022 से पहले के Zapier उपयोगकर्ताओं के खातों के कोड का फायदा उठाया जा सकता था।

बारगुरी कहते हैं कि हालांकि Zapier एक सुरक्षित प्लेटफॉर्म है, कोई भी प्लेटफॉर्म कमजोरियों से सुरक्षित नहीं है। जैप बनाते समय, उपयोगकर्ताओं को प्लेटफ़ॉर्म के शीर्ष पर जो वे बनाते हैं, उसे सुरक्षित करने की जिम्मेदारी लेनी चाहिए, क्योंकि no-code विकास अभी भी विकास है और साझा जिम्मेदारी मॉडल के पालन की आवश्यकता है।

नो-कोड / low-code एप्लिकेशन, इंटीग्रेशन और ऑटोमेशन के लिए पहले और एकमात्र सुरक्षा प्रशासन प्लेटफॉर्म के रूप में, Zenity एक आवश्यक सेवा प्रदान करता है। AppMaster जैसे नो-कोड/ low-code प्लेटफॉर्म के उदय के साथ, पेशेवर और नागरिक डेवलपर्स दोनों व्यापक कोडिंग ज्ञान के बिना अनुकूलित सॉफ़्टवेयर समाधान बना सकते हैं। हालाँकि, यह सुविधा संभावित सुरक्षा जोखिमों के साथ आती है यदि पर्याप्त रूप से नियंत्रित और प्रबंधित नहीं की जाती है।

Zenity आईटी और सुरक्षा पेशेवरों को व्यापक दृश्यता और उनके नो-कोड / low-code एस्टेट पर नियंत्रण करने में सक्षम बनाता है। इससे उन्हें संभावित कमजोरियों को खत्म करने और विकास के लिए अधिक सुरक्षित दृष्टिकोण अपनाने की अनुमति मिलती है। प्लेटफ़ॉर्म पूरे नो-कोड / low-code जीवनचक्र में सुरक्षा नीतियों को लागू करने के लिए क्रॉस-प्लेटफ़ॉर्म इन्वेंट्री, निरंतर जोखिम मूल्यांकन, स्वचालित सुधारात्मक कार्रवाइयाँ और गवर्नेंस प्लेबुक जैसी सुविधाएँ प्रदान करता है।

पूर्व Microsoft साइबर सुरक्षा नेताओं और विशेषज्ञों, Ben Kliger और Michael Bargury द्वारा स्थापित, Zenity आईटी विकेंद्रीकरण के लिए सुरक्षा प्रशासन में अग्रणी है। कंपनी फॉर्च्यून 500 निगमों सहित बड़े उद्यमों के साथ काम करती है, और OWASP टॉप 10 लो-कोड/ No-Code सुरक्षा जोखिम समूह का नेतृत्व करती है।