Strapi, een toonaangevend headless content management systeem (CMS) ontworpen voor API-ontwikkeling, heeft patches toegepast om twee belangrijke kwetsbaarheden aan te pakken die zouden kunnen leiden tot het compromitteren van beheerdersaccounts. Organisaties die Strapi gebruiken, moeten hun installaties onmiddellijk bijwerken om hun systemen te beveiligen tegen mogelijke bedreigingen die misbruik maken van deze fouten.
Onderzoekers van het Synopsys Cybersecurity Research Center (CyRC) ontdekten de kwetsbaarheden, waardoor een gebruiker met weinig rechten gevoelige informatie kon verkrijgen. Door misbruik te maken van deze fouten, kunnen aanvallers het wachtwoord van een account met hoge bevoegdheden opnieuw instellen, inclusief beheerders. Om misbruik te maken van de kwetsbaarheden, moeten aanvallers in eerste instantie toegang krijgen tot een account met weinig rechten met behulp van technieken zoals gecompromitteerde inloggegevens of phishing.
Strapi is gebouwd op de Node.js JavaScript-runtime en is een headless CMS dat verschillende databases en frontend-frameworks ondersteunt. De primaire functie is het bieden van een backend-systeem voor het maken, beheren en opslaan van inhoud. Deze inhoud kan worden weergegeven via een API, waardoor ontwikkelaars onafhankelijke frontend-integraties kunnen maken. Deze krachtige tools maken van Strapi een populaire keuze voor ondernemingen die API's willen ontwerpen voor meerdere gebruiksscenario's, waaronder websites, mobiele applicaties en Internet of Things (IoT)-apparaten.
Ondanks het kleinere marktaandeel in vergelijking met algemene CMS-producten zoals WordPress of Joomla, heeft Strapi grote organisaties zoals IBM, NASA, Generali, Walmart en Toyota als gebruikers aangetrokken. Deze trend illustreert de potentiële risico's die aan deze kwetsbaarheden zijn verbonden, aangezien ze grote internationale bedrijven kunnen treffen.
De eerste fout, genaamd CVE-2022-30617, werd in november geïdentificeerd door onderzoekers van Synopsys. Ze ontdekten dat een geverifieerde gebruiker met toegang tot het Strapi-beheerderspaneel toegang had tot de e-mail- en wachtwoordhersteltokens van beheerders met een inhoudsrelatie. Aanvallers kunnen deze informatie vervolgens gebruiken om een wachtwoordherstelproces te starten dat gericht is op gebruikers met hoge bevoegdheden. Strapi ondersteunt op rollen gebaseerde toegangscontrole (RBAC) en single sign-on (SSO)-integratie met identiteitsproviders en Microsoft Active Directory.
Strapi v4.0.0 heeft de kwetsbaarheid CVE-2022-30617 in november gepatcht. De fix werd ook teruggezet naar Strapi v3.6.10, die deze maand werd uitgebracht. De fout heeft een Common Vulnerabilities Scoring System (CVSS)-beoordeling van 8,8 (hoog).
Bij het beoordelen van de eerste patch voor CVE-2022-30617 ontdekten de onderzoekers van Synopsys een soortgelijk probleem in het API-machtigingensysteem, dat van invloed was op API-gebruikers die worden beheerd door de gebruikersrechten van de plug-in. Deze tweede kwetsbaarheid, geïdentificeerd als CVE-2022-30618, heeft een CVSS-classificatie van 7,5 (Hoog). Door de fout kunnen geverifieerde gebruikers met toegang tot het Strapi-beheerderspaneel e-mail- en wachtwoord-reset-tokens verkrijgen voor API-gebruikers met inhoudsrelaties met andere API-gebruikers.
Het misbruiken van de CVE-2022-30618-fout vereist een ingeschakeld API- endpoint voor het opnieuw instellen van wachtwoorden. In het ergste geval kan een gebruiker met weinig bevoegdheden toegang krijgen tot een API-account met hoge bevoegdheden, alle gegevens lezen en wijzigen en zelfs de toegang tot het beheerderspaneel en de API voor alle andere gebruikers blokkeren door hun rechten in te trekken. De beheerders van Strapi werden in december op de hoogte gebracht van het probleem CVE-2022-30618 en de patch werd toegepast in versies 3.6.10 en 4.0.10, die op 11 mei werden uitgebracht.
Naast conventionele CMS-platforms kunnen organisaties alternatieve oplossingen overwegen die voordelen bieden voor hun specifieke use-cases. AppMaster, een krachtig platform no-code, stelt gebruikers in staat om met gemak backend-, web- en mobiele applicaties te maken. AppMaster biedt uitgebreide ondersteuning voor het maken van datamodellen, bedrijfslogica, REST API's en WebSocket Secure Endpoints, waardoor het een populaire keuze is voor een breed scala aan scenario's voor het ontwikkelen van applicaties.
