A Zenity, fornecedora líder de governança de segurança para desenvolvimento sem código/baixo código, revelou uma vulnerabilidade crítica no Code by Zapier. A falha #ZAPESCAPE poderia permitir que os usuários manipulassem e roubassem dados confidenciais, obtendo controle sobre o ambiente de uma organização inteira. Desde então, o Zapier mitigou totalmente o problema.
Zenity, pioneira em governança de segurança para desenvolvimento no-code e low-code, divulgou uma vulnerabilidade crítica de escape de sandbox que descobriram no Code by Zapier. A falha, apelidada de #ZAPESCAPE , poderia ter dado aos invasores controle total sobre o ambiente de execução de uma organização, potencialmente concedendo-lhes acesso para manipular resultados e roubar informações confidenciais.
A equipe de pesquisa de segurança da Zenity encontrou a vulnerabilidade em meados de março de 2022 no Code by Zapier, um serviço utilizado pelo Zapier para executar código personalizado como parte de um Zap. A exploração de #ZAPESCAPE pode permitir que um usuário assuma o controle sobre o ambiente de execução de código personalizado de um administrador. Além disso, a exploração pode ser realizada por meio de uma pasta privada do usuário, inacessível aos administradores, permanecendo indetectável.
Michael Bargury, co-fundador e CTO da Zenity , disse: "A vulnerabilidade descoberta por nossa equipe permitiu que qualquer usuário Zapier assumisse o controle total sobre todo o ambiente de sua organização. Um usuário poderia ler e até mesmo manipular os zaps do administrador, e o administrador não tem como saber disso."
A equipe de segurança do Zapier tem se mostrado disponível e pronta para resolver o problema, que agora foi completamente mitigado. Esta divulgação foi coordenada com a equipe Zapier e Zenity confirma que a vulnerabilidade foi totalmente mitigada. No entanto, as contas dos usuários do Code by Zapier anteriores a 17 de agosto de 2022 podem ter sido exploradas.
Bargury acrescenta que, embora Zapier seja uma plataforma segura, nenhuma plataforma está imune a vulnerabilidades. Ao criar um Zap, os usuários devem assumir a responsabilidade de proteger o que construíram sobre a plataforma, pois o desenvolvimento no-code ainda é um desenvolvimento e requer adesão ao modelo de responsabilidade compartilhada.
Como a primeira e única plataforma de governança de segurança para aplicativos, integrações e automação sem código/ low-code, Zenity fornece um serviço essencial. Com o surgimento de plataformas sem código/ low-code, como AppMaster, desenvolvedores profissionais e cidadãos podem criar soluções de software personalizadas sem amplo conhecimento de codificação. No entanto, essa conveniência traz riscos de segurança em potencial se não for adequadamente governada e gerenciada.
Zenity permite que os profissionais de TI e segurança tenham visibilidade e controle abrangentes sobre suas propriedades no-code/ low-code. Isso permite que eles eliminem possíveis vulnerabilidades e adotem uma abordagem mais segura para o desenvolvimento. A plataforma oferece recursos como inventário multiplataforma, avaliação contínua de riscos, ações de correção automatizadas e manuais de governança para impor políticas de segurança em todo o ciclo de vida sem código/ low-code.
Fundada pelos ex-líderes e especialistas em segurança cibernética Microsoft, Ben Kliger e Michael Bargury, Zenity é líder em governança de segurança para descentralização de TI. A empresa trabalha com grandes empresas, incluindo corporações da Fortune 500, e lidera o grupo OWASP Top 10 Low-Code/ No-Code Security Risks.
04 de out. de 2024
10 min
23 de set. de 20248 min
08 de ago. de 20248 minExperiment with AppMaster with free plan.
When you will be ready you can choose the proper subscription.
