Kerentanan Kritis dalam Kode oleh Zapier Exposed: Zenity Mengungkap #ZAPESCAPE

Zenity, pelopor dalam tata kelola keamanan untuk pengembangan no-code dan low-code, mempublikasikan kerentanan kritis sandbox-escape yang mereka temukan di Code by Zapier. Cacat, dijuluki #ZAPESCAPE , bisa memberi penyerang kendali penuh atas lingkungan eksekusi organisasi, berpotensi memberi mereka akses untuk memanipulasi hasil dan mencuri informasi sensitif.

Tim peneliti keamanan di Zenity menemukan kerentanan pada pertengahan Maret 2022 di dalam Code by Zapier, sebuah layanan yang digunakan oleh Zapier untuk mengeksekusi kode khusus sebagai bagian dari Zap. Memanfaatkan #ZAPESCAPE dapat memungkinkan pengguna untuk mengambil kendali atas lingkungan eksekusi kode khusus admin. Selanjutnya, eksploit dapat dilakukan melalui folder pribadi pengguna, yang tidak dapat diakses oleh admin, tetap tidak terdeteksi.

Michael Bargury, Co-Founder dan CTO Zenity , berkata, "Kerentanan yang ditemukan oleh tim kami memungkinkan setiap pengguna Zapier mengambil kendali penuh atas seluruh lingkungan organisasi mereka. Seorang pengguna dapat membaca dan bahkan memanipulasi zap admin, dan admin akan tidak memiliki cara untuk mengetahuinya."

Tim keamanan Zapier telah datang dan segera mengatasi masalah tersebut, yang kini telah sepenuhnya dimitigasi. Pengungkapan ini telah dikoordinasikan dengan tim Zapier, dan Zenity mengonfirmasi bahwa kerentanan telah dimitigasi sepenuhnya. Namun, akun pengguna Code by Zapier sebelum 17 Agustus 2022 dapat dieksploitasi.

Bargury menambahkan bahwa meskipun Zapier adalah platform yang aman, tidak ada platform yang kebal terhadap kerentanan. Saat membuat Zap, pengguna harus bertanggung jawab untuk mengamankan apa yang mereka buat di atas platform, karena pengembangan no-code masih dalam pengembangan dan memerlukan kepatuhan pada model tanggung jawab bersama.

Sebagai platform tata kelola keamanan pertama dan satu-satunya untuk aplikasi tanpa kode/ low-code, integrasi, dan otomatisasi, Zenity menyediakan layanan penting. Dengan munculnya platform tanpa kode/ low-code seperti AppMaster, pengembang profesional dan warga dapat membuat solusi perangkat lunak yang disesuaikan tanpa pengetahuan pengkodean yang luas. Namun, kemudahan ini memiliki potensi risiko keamanan jika tidak diatur dan dikelola dengan baik.

Zenity memungkinkan para profesional TI dan keamanan untuk memiliki visibilitas dan kontrol komprehensif atas estate tanpa kode/ low-code mereka. Hal ini memungkinkan mereka untuk menghilangkan potensi kerentanan dan mengadopsi pendekatan pembangunan yang lebih aman. Platform ini menawarkan fitur seperti inventaris lintas platform, penilaian risiko berkelanjutan, tindakan remediasi otomatis, dan pedoman tata kelola untuk menegakkan kebijakan keamanan di seluruh siklus hidup tanpa kode/ low-code.

Didirikan oleh mantan pemimpin dan pakar keamanan siber Microsoft, Ben Kliger dan Michael Bargury, Zenity adalah pemimpin dalam tata kelola keamanan untuk desentralisasi TI. Perusahaan ini bekerja dengan perusahaan besar, termasuk perusahaan Fortune 500, dan memimpin grup OWASP Top 10 Low-Code/ No-Code Security Risks.