Vulnerabilidade crítica no código por Zapier exposta: Zenity revela #ZAPESCAPE

Zenity, pioneira em governança de segurança para desenvolvimento no-code e low-code, divulgou uma vulnerabilidade crítica de escape de sandbox que descobriram no Code by Zapier. A falha, apelidada de #ZAPESCAPE , poderia ter dado aos invasores controle total sobre o ambiente de execução de uma organização, potencialmente concedendo-lhes acesso para manipular resultados e roubar informações confidenciais.

A equipe de pesquisa de segurança da Zenity encontrou a vulnerabilidade em meados de março de 2022 no Code by Zapier, um serviço utilizado pelo Zapier para executar código personalizado como parte de um Zap. A exploração de #ZAPESCAPE pode permitir que um usuário assuma o controle sobre o ambiente de execução de código personalizado de um administrador. Além disso, a exploração pode ser realizada por meio de uma pasta privada do usuário, inacessível aos administradores, permanecendo indetectável.

Michael Bargury, co-fundador e CTO da Zenity , disse: "A vulnerabilidade descoberta por nossa equipe permitiu que qualquer usuário Zapier assumisse o controle total sobre todo o ambiente de sua organização. Um usuário poderia ler e até mesmo manipular os zaps do administrador, e o administrador não tem como saber disso."

A equipe de segurança do Zapier tem se mostrado disponível e pronta para resolver o problema, que agora foi completamente mitigado. Esta divulgação foi coordenada com a equipe Zapier e Zenity confirma que a vulnerabilidade foi totalmente mitigada. No entanto, as contas dos usuários do Code by Zapier anteriores a 17 de agosto de 2022 podem ter sido exploradas.

Bargury acrescenta que, embora Zapier seja uma plataforma segura, nenhuma plataforma está imune a vulnerabilidades. Ao criar um Zap, os usuários devem assumir a responsabilidade de proteger o que construíram sobre a plataforma, pois o desenvolvimento no-code ainda é um desenvolvimento e requer adesão ao modelo de responsabilidade compartilhada.

Como a primeira e única plataforma de governança de segurança para aplicativos, integrações e automação sem código/ low-code, Zenity fornece um serviço essencial. Com o surgimento de plataformas sem código/ low-code, como AppMaster, desenvolvedores profissionais e cidadãos podem criar soluções de software personalizadas sem amplo conhecimento de codificação. No entanto, essa conveniência traz riscos de segurança em potencial se não for adequadamente governada e gerenciada.

Zenity permite que os profissionais de TI e segurança tenham visibilidade e controle abrangentes sobre suas propriedades no-code/ low-code. Isso permite que eles eliminem possíveis vulnerabilidades e adotem uma abordagem mais segura para o desenvolvimento. A plataforma oferece recursos como inventário multiplataforma, avaliação contínua de riscos, ações de correção automatizadas e manuais de governança para impor políticas de segurança em todo o ciclo de vida sem código/ low-code.

Fundada pelos ex-líderes e especialistas em segurança cibernética Microsoft, Ben Kliger e Michael Bargury, Zenity é líder em governança de segurança para descentralização de TI. A empresa trabalha com grandes empresas, incluindo corporações da Fortune 500, e lidera o grupo OWASP Top 10 Low-Code/ No-Code Security Risks.