Kritieke kwetsbaarheid in code door Zapier blootgelegd: Zenity onthult #ZAPESCAPE

Zenity, een voorloper op het gebied van beveiligingsbeheer voor no-code en low-code ontwikkeling, publiceerde een kritieke sandbox-escape-kwetsbaarheid die ze ontdekten in Code by Zapier. De fout, genaamd #ZAPESCAPE , had aanvallers volledige controle kunnen geven over de uitvoeringsomgeving van een organisatie, waardoor ze mogelijk toegang hadden gekregen om resultaten te manipuleren en gevoelige informatie te stelen.

Het beveiligingsonderzoeksteam van Zenity ontdekte de kwetsbaarheid medio maart 2022 in Code by Zapier, een service die door Zapier wordt gebruikt om aangepaste code uit te voeren als onderdeel van een Zap. Door gebruik te maken van #ZAPESCAPE kan een gebruiker de controle krijgen over de aangepaste code-uitvoeringsomgeving van een beheerder. Bovendien kan de exploit worden uitgevoerd via de privémap van een gebruiker, die niet toegankelijk is voor beheerders en niet kan worden opgespoord.

Michael Bargury, mede-oprichter en CTO van Zenity , zei: "Door de kwetsbaarheid die door ons team werd ontdekt, kon elke Zapier gebruiker de volledige controle krijgen over de omgeving van zijn hele organisatie. Een gebruiker kon de zaps van de beheerder lezen en zelfs manipuleren, en de beheerder zou heb er geen weet van."

Het beveiligingsteam van Zapier is behulpzaam en snel in het aanpakken van het probleem, dat nu volledig is verholpen. Deze onthulling is gecoördineerd met het Zapier team en Zenity bevestigt dat de kwetsbaarheid volledig is verholpen. De gebruikersaccounts van Code by Zapier van vóór 17 augustus 2022 hadden echter kunnen worden misbruikt.

Bargury voegt eraan toe dat hoewel Zapier een veilig platform is, geen enkel platform immuun is voor kwetsbaarheden. Bij het maken van een Zap moeten gebruikers de verantwoordelijkheid nemen voor het beveiligen van wat ze bovenop het platform bouwen, aangezien ontwikkeling no-code nog steeds ontwikkeling is en naleving van het gedeelde verantwoordelijkheidsmodel vereist.

Als het eerste en enige security governance-platform voor no-code/ low-code applicaties, integraties en automatisering, biedt Zenity een essentiële service. Met de opkomst van no-code/ low-code -platforms zoals AppMaster kunnen zowel professionele als burgerontwikkelaars softwareoplossingen op maat maken zonder uitgebreide codeerkennis. Dit gemak brengt echter potentiële beveiligingsrisico's met zich mee als het niet adequaat wordt beheerd en beheerd.

Zenity stelt IT- en beveiligingsprofessionals in staat uitgebreide zichtbaarheid en controle te hebben over hun no-code/ low-code domeinen. Hierdoor kunnen ze potentiële kwetsbaarheden elimineren en een veiligere benadering van ontwikkeling aannemen. Het platform biedt functies zoals platformonafhankelijke inventarisatie, continue risicobeoordeling, geautomatiseerde herstelacties en governance-playbooks om beveiligingsbeleid af te dwingen gedurende de gehele no-code/ low-code levenscyclus.

Zenity, opgericht door voormalige leiders en experts op het gebied van cyberbeveiliging Microsoft, Ben Kliger en Michael Bargury, is een leider op het gebied van beveiligingsbeheer voor IT-decentralisatie. Het bedrijf werkt samen met grote ondernemingen, waaronder Fortune 500-bedrijven, en leidt de OWASP Top 10 Low-Code/ No-Code Security Risks-groep.