ช่องโหว่ร้ายแรงในโค้ดโดย Zapier Exposed: Zenity เผย #ZAPESCAPE

Zenity ซึ่งเป็นผู้นำในการกำกับดูแลความปลอดภัยสำหรับการพัฒนา no-code และ low-code เผยแพร่ช่องโหว่การหลบหนีจากแซนด์บ็อกซ์ที่สำคัญที่พวกเขาค้นพบใน Code by Zapier ข้อบกพร่องที่เรียกว่า #ZAPESCAPE อาจทำให้ผู้โจมตีสามารถควบคุมสภาพแวดล้อมการดำเนินการขององค์กรได้อย่างเต็มที่ ซึ่งอาจทำให้พวกเขาเข้าถึงเพื่อจัดการผลลัพธ์และขโมยข้อมูลที่ละเอียดอ่อนได้

ทีมวิจัยด้านความปลอดภัยของ Zenity พบช่องโหว่ในช่วงกลางเดือนมีนาคม 2565 ภายใน Code by Zapier ซึ่งเป็นบริการที่ Zapier ใช้ในการเรียกใช้โค้ดที่กำหนดเองโดยเป็นส่วนหนึ่งของ Zap การใช้ #ZAPESCAPE อาจทำให้ผู้ใช้สามารถควบคุมสภาพแวดล้อมการดำเนินการโค้ดที่กำหนดเองของผู้ดูแลระบบได้ นอกจากนี้ การหาประโยชน์สามารถทำได้ผ่านโฟลเดอร์ส่วนตัวของผู้ใช้ ซึ่งผู้ดูแลระบบไม่สามารถเข้าถึงได้ และยังคงตรวจไม่พบ

Michael Bargury ผู้ร่วมก่อตั้งและ CTO ของ Zenity กล่าวว่า "ช่องโหว่ที่ค้นพบโดยทีมของเราทำให้ผู้ใช้ Zapier สามารถควบคุมสภาพแวดล้อมทั้งหมดขององค์กรได้อย่างเต็มที่ ผู้ใช้สามารถอ่านและแม้แต่จัดการกับ zaps ของผู้ดูแลระบบ และผู้ดูแลระบบจะ ไม่มีทางรู้เรื่องนี้ได้เลย”

ทีมรักษาความปลอดภัยของ Zapier พร้อมที่จะแก้ไขปัญหานี้อย่างรวดเร็ว ซึ่งขณะนี้ได้บรรเทาลงอย่างสมบูรณ์แล้ว การเปิดเผยนี้ได้รับการประสานงานกับทีม Zapier และ Zenity ยืนยันว่าช่องโหว่ดังกล่าวได้รับการบรรเทาลงอย่างสมบูรณ์แล้ว อย่างไรก็ตาม บัญชีผู้ใช้ Code by Zapier ก่อนวันที่ 17 สิงหาคม 2022 อาจถูกโจมตีได้

Bargury กล่าวเพิ่มเติมว่า แม้ว่า Zapier จะเป็นแพลตฟอร์มที่ปลอดภัย แต่ไม่มีแพลตฟอร์มใดที่ป้องกันช่องโหว่ได้ เมื่อสร้าง Zap ผู้ใช้จะต้องรับผิดชอบในการรักษาความปลอดภัยของสิ่งที่พวกเขาสร้างขึ้นบนแพลตฟอร์ม เนื่องจากการพัฒนา no-code ยังคงเป็นการพัฒนาและจำเป็นต้องปฏิบัติตามรูปแบบความรับผิดชอบร่วมกัน

ในฐานะที่เป็นแพลตฟอร์มการกำกับดูแลด้านความปลอดภัยแห่งแรกและแห่งเดียวสำหรับแอปพลิเคชันแบบไม่มีโค้ด/ low-code การผสานรวม และระบบอัตโนมัติ Zenity ให้บริการที่จำเป็น ด้วยการเพิ่มขึ้นของแพลตฟอร์มแบบไม่ใช้โค้ด/ low-code เช่น AppMaster นักพัฒนาทั้งมืออาชีพและพลเมืองสามารถสร้างโซลูชันซอฟต์แวร์แบบกำหนดเองได้โดยไม่ต้องมีความรู้ด้านการเขียนโค้ดมากนัก อย่างไรก็ตาม ความสะดวกสบายนี้มาพร้อมกับความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นหากไม่ได้รับการควบคุมและจัดการอย่างเพียงพอ

Zenity ช่วยให้ผู้เชี่ยวชาญด้านไอทีและความปลอดภัยสามารถมองเห็นและควบคุมพื้นที่แบบไม่มีโค้ด/ low-code ได้อย่างครอบคลุม ซึ่งช่วยให้สามารถกำจัดช่องโหว่ที่อาจเกิดขึ้นและนำแนวทางที่ปลอดภัยยิ่งขึ้นมาใช้ในการพัฒนา แพลตฟอร์มนำเสนอคุณลักษณะต่างๆ เช่น สินค้าคงคลังข้ามแพลตฟอร์ม การประเมินความเสี่ยงอย่างต่อเนื่อง การดำเนินการแก้ไขอัตโนมัติ และ playbooks การกำกับดูแลเพื่อบังคับใช้นโยบายความปลอดภัยตลอดวงจรชีวิตที่ไม่มีโค้ด/ low-code

ก่อตั้งโดยอดีตผู้นำและผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ Microsoft อย่าง Ben Kliger และ Michael BarguryZenity เป็นผู้นำด้านการกำกับดูแลความปลอดภัยสำหรับการกระจายอำนาจด้านไอที บริษัททำงานร่วมกับองค์กรขนาดใหญ่ รวมถึงบริษัทที่ติดอันดับ Fortune 500 และเป็นผู้นำกลุ่มความเสี่ยงด้านความปลอดภัยแบบรหัสต่ำ/ No-Code 10 อันดับแรกของ OWASP