Vulnerabilità critica nel codice di Zapier smascherata: Zenity scopre #ZAPESCAPE

Zenity, leader nella governance della sicurezza per lo sviluppo no-code e low-code, ha pubblicizzato una vulnerabilità critica di fuga dalla sandbox che hanno scoperto in Code by Zapier. Il difetto, soprannominato #ZAPESCAPE , avrebbe potuto dare agli aggressori il pieno controllo sull'ambiente di esecuzione di un'organizzazione, concedendo loro potenzialmente l'accesso per manipolare i risultati e rubare informazioni sensibili.

Il team di ricerca sulla sicurezza di Zenity ha rilevato la vulnerabilità a metà marzo 2022 all'interno di Code by Zapier, un servizio utilizzato da Zapier per eseguire codice personalizzato come parte di uno Zap. Lo sfruttamento di #ZAPESCAPE potrebbe consentire a un utente di assumere il controllo dell'ambiente di esecuzione del codice personalizzato di un amministratore. Inoltre, l'exploit potrebbe essere eseguito tramite la cartella privata di un utente, che è inaccessibile agli amministratori, rimanendo non rilevabile.

Michael Bargury, co-fondatore e CTO di Zenity , ha dichiarato: "La vulnerabilità scoperta dal nostro team ha consentito a qualsiasi utente Zapier di assumere il pieno controllo dell'ambiente dell'intera organizzazione. Un utente poteva leggere e persino manipolare gli zap dell'amministratore e l'amministratore avrebbe non hanno modo di saperlo".

Il team di sicurezza di Zapier è stato disponibile e tempestivo nell'affrontare il problema, che ora è stato completamente mitigato. Questa divulgazione è stata coordinata con il team Zapier e Zenity conferma che la vulnerabilità è stata completamente mitigata. Tuttavia, gli account degli utenti di Code by Zapier prima del 17 agosto 2022 avrebbero potuto essere sfruttati.

Bargury aggiunge che sebbene Zapier sia una piattaforma sicura, nessuna piattaforma è immune alle vulnerabilità. Quando si crea uno Zap, gli utenti devono assumersi la responsabilità di proteggere ciò che costruiscono sulla piattaforma, poiché lo sviluppo no-code è ancora sviluppo e richiede l'adesione al modello di responsabilità condivisa.

In qualità di prima e unica piattaforma di governance della sicurezza per applicazioni, integrazioni e automazione no-code/ low-code, Zenity fornisce un servizio essenziale. Con l'ascesa di piattaforme no-code/ low-code come AppMaster, sia gli sviluppatori professionisti che i cittadini possono creare soluzioni software personalizzate senza una conoscenza approfondita della codifica. Tuttavia, questa comodità comporta potenziali rischi per la sicurezza se non adeguatamente governata e gestita.

Zenity consente ai professionisti IT e della sicurezza di avere una visibilità e un controllo completi sulle loro proprietà no-code/ low-code. Ciò consente loro di eliminare potenziali vulnerabilità e adottare un approccio più sicuro allo sviluppo. La piattaforma offre funzionalità come inventario multipiattaforma, valutazione continua dei rischi, azioni correttive automatizzate e playbook di governance per applicare le policy di sicurezza durante l'intero ciclo di vita no-code/ low-code.

Fondata da Ben Kliger e Michael Bargury, ex leader ed esperti di sicurezza informatica Microsoft, Zenity è leader nella governance della sicurezza per il decentramento IT. L'azienda lavora con grandi aziende, comprese le società Fortune 500, e guida il gruppo OWASP Top 10 Low-Code/ No-Code Security Risks.