Zenity, lider w dziedzinie zarządzania bezpieczeństwem w zakresie programowania no-code i low-code, opublikowała krytyczną lukę umożliwiającą ucieczkę z piaskownicy, którą wykryła w Code by Zapier. Luka, nazwana #ZAPESCAPE , mogła dać atakującym pełną kontrolę nad środowiskiem wykonawczym organizacji, potencjalnie dając im dostęp do manipulowania wynikami i kradzieży poufnych informacji.
Zespół badawczy Zenity wykrył lukę w zabezpieczeniach w połowie marca 2022 r. w Code by Zapier, usłudze wykorzystywanej przez Zapier do wykonywania niestandardowego kodu w ramach Zap. Wykorzystanie #ZAPESCAPE może umożliwić użytkownikowi przejęcie kontroli nad niestandardowym środowiskiem wykonywania kodu administratora. Ponadto exploit może zostać przeprowadzony za pośrednictwem prywatnego folderu użytkownika, który jest niedostępny dla administratorów i pozostaje niewykrywalny.
Michael Bargury, współzałożyciel i dyrektor techniczny Zenity , powiedział: „Luka wykryta przez nasz zespół pozwoliła każdemu użytkownikowi Zapier na przejęcie pełnej kontroli nad środowiskiem całej organizacji. Użytkownik mógł czytać, a nawet manipulować zapsami administratora, a administrator mógł nie ma sposobu, aby się o tym dowiedzieć”.
Zespół ds. bezpieczeństwa Zapier był otwarty i szybki w rozwiązaniu problemu, który został teraz całkowicie złagodzony. To ujawnienie zostało uzgodnione z zespołem Zapier, a Zenity potwierdza, że luka została w pełni zażegnana. Jednak konta użytkowników Code by Zapier sprzed 17 sierpnia 2022 r. mogły zostać wykorzystane.
Bargury dodaje, że chociaż Zapier jest bezpieczną platformą, żadna platforma nie jest odporna na luki w zabezpieczeniach. Tworząc Zap, użytkownicy muszą wziąć odpowiedzialność za zabezpieczenie tego, co budują na platformie, ponieważ programowanie no-code jest nadal rozwojem i wymaga przestrzegania modelu współodpowiedzialności.
Jako pierwsza i jedyna platforma do zarządzania bezpieczeństwem dla aplikacji, integracji i automatyzacji bez lub low-code, Zenity zapewnia podstawową usługę. Wraz z rozwojem platform bezkodowych/ low-code takich jak AppMaster, zarówno profesjonalni, jak i obywatele mogą tworzyć niestandardowe rozwiązania programowe bez rozległej wiedzy na temat kodowania. Jednak ta wygoda wiąże się z potencjalnym zagrożeniem dla bezpieczeństwa, jeśli nie jest odpowiednio zarządzana i zarządzana.
Zenity umożliwia specjalistom IT i bezpieczeństwa kompleksowy wgląd i kontrolę nad ich majątkiem bez lub z low-code. To pozwala im eliminować potencjalne luki w zabezpieczeniach i przyjąć bezpieczniejsze podejście do rozwoju. Platforma oferuje takie funkcje, jak wieloplatformowa inwentaryzacja, ciągła ocena ryzyka, zautomatyzowane działania naprawcze i podręczniki zarządzania w celu egzekwowania zasad bezpieczeństwa przez cały cykl życia bez kodu lub low-code.
Założona przez byłych liderów i ekspertów Microsoft ds. cyberbezpieczeństwa, Ben Kliger i Michael Bargury, Zenity jest liderem w zarządzaniu bezpieczeństwem dla decentralizacji IT. Firma współpracuje z dużymi przedsiębiorstwami, w tym korporacjami z listy Fortune 500, i przewodzi grupie OWASP Top 10 Low-Code/ No-Code Security Risks.
