Обнаружена критическая уязвимость в коде Zapier: Zenity раскрывает #ZAPESCAPE

Zenity, лидер в области управления безопасностью для разработки no-code и low-code, опубликовала критическую уязвимость выхода из песочницы, которую они обнаружили в Code by Zapier. Уязвимость, получившая название #ZAPESCAPE , могла дать злоумышленникам полный контроль над исполнительной средой организации, потенциально предоставляя им доступ для манипулирования результатами и кражи конфиденциальной информации.

Исследовательская группа Zenity в середине марта 2022 года обнаружила уязвимость в Code by Zapier, сервисе, используемом Zapier для выполнения пользовательского кода как части Zap. Использование #ZAPESCAPE может позволить пользователю захватить контроль над пользовательской средой выполнения кода администратора. Кроме того, эксплойт может быть выполнен через личную папку пользователя, которая недоступна для администраторов и остается незамеченной.

Michael Bargury, соучредитель и технический директор Zenity , сказал: «Уязвимость, обнаруженная нашей командой, позволяла любому пользователю Zapier получить полный контроль над всей средой своей организации. Пользователь мог читать и даже манипулировать zaps администратора, а администратор нет возможности узнать об этом».

Команда безопасности Zapier была готова и оперативно решила проблему, которая теперь полностью устранена. Это раскрытие было согласовано с командой Zapier, и Zenity подтверждает, что уязвимость была полностью устранена. Однако учетные записи пользователей Code by Zapier до 17 августа 2022 года могли быть взломаны.

Баргури добавляет, что хотя Zapier является безопасной платформой, ни одна платформа не застрахована от уязвимостей. При создании Zap пользователи должны взять на себя ответственность за безопасность того, что они строят поверх платформы, поскольку разработка no-code по-прежнему остается разработкой и требует соблюдения модели общей ответственности.

Будучи первой и единственной платформой управления безопасностью для приложений, интеграций и автоматизации, не требующих кода или low-code кодом, Zenity предоставляет важные услуги. С появлением платформ без кода / low-code таких как AppMaster, как профессиональные, так и гражданские разработчики могут создавать индивидуальные программные решения без обширных знаний в области кодирования. Однако это удобство сопряжено с потенциальными рисками безопасности, если оно не регулируется и не управляется должным образом.

Zenity позволяет ИТ-специалистам и специалистам по безопасности иметь всестороннюю видимость и контроль над своим имуществом без кода или low-code. Это позволяет им устранять потенциальные уязвимости и применять более безопасный подход к разработке. Платформа предлагает такие функции, как межплатформенная инвентаризация, непрерывная оценка рисков, автоматические действия по исправлению и схемы управления для обеспечения соблюдения политик безопасности на протяжении всего жизненного цикла без кода или low-code.

Zenity, основанная бывшими руководителями и экспертами Microsoft по кибербезопасности Ben Kliger и Michael Bargury, является лидером в области управления безопасностью для децентрализации ИТ. Компания работает с крупными предприятиями, включая корпорации из списка Fortune 500, и возглавляет группу OWASP Top 10 Low-Code/ No-Code Security Risk Risks.