Strapi ซึ่งเป็นระบบจัดการเนื้อหาแบบไร้หัว (CMS) ชั้นนำที่ออกแบบมาสำหรับการพัฒนา API ได้ใช้แพตช์เพื่อแก้ไขช่องโหว่สำคัญ 2 รายการที่อาจนำไปสู่การบุกรุกบัญชีผู้ดูแลระบบ องค์กรที่ใช้ Strapi ควรอัปเดตการติดตั้งทันทีเพื่อป้องกันระบบของตนจากภัยคุกคามที่อาจใช้ประโยชน์จากข้อบกพร่องเหล่านี้
นักวิจัยจาก Synopsys Cybersecurity Research Center (CyRC) ค้นพบช่องโหว่ดังกล่าว ซึ่งทำให้ผู้ใช้ที่มีสิทธิ์น้อยสามารถรับข้อมูลที่ละเอียดอ่อนได้ การใช้ประโยชน์จากข้อบกพร่องเหล่านี้อาจทำให้ผู้โจมตีสามารถรีเซ็ตรหัสผ่านของบัญชีที่มีสิทธิ์สูง รวมถึงผู้ดูแลระบบ ในการใช้ประโยชน์จากช่องโหว่ ผู้โจมตีต้องเข้าถึงบัญชีที่มีสิทธิพิเศษต่ำในขั้นต้นโดยใช้เทคนิคต่างๆ เช่น ข้อมูลประจำตัวที่ถูกบุกรุกหรือฟิชชิง
สร้างขึ้นบนรันไทม์ JavaScript ของ Node.js ทำให้ Strapi เป็น CMS แบบไม่มีส่วนหัวที่รองรับฐานข้อมูลและเฟรมเวิร์กส่วนหน้าที่หลากหลาย หน้าที่หลักของมันคือการจัดหาระบบแบ็กเอนด์สำหรับสร้าง จัดการ และจัดเก็บเนื้อหา เนื้อหานี้สามารถเปิดเผยผ่าน API ซึ่งช่วยให้นักพัฒนาสามารถสร้างการรวมส่วนหน้าได้อย่างอิสระ เครื่องมืออันทรงพลังเหล่านี้ทำให้ Strapi เป็นตัวเลือกยอดนิยมสำหรับองค์กรที่ต้องการออกแบบ API สำหรับกรณีการใช้งานที่หลากหลาย รวมถึงเว็บไซต์ แอปพลิเคชันมือถือ และอุปกรณ์ Internet of Things (IoT)
แม้จะมีส่วนแบ่งการตลาดที่เล็กกว่าเมื่อเทียบกับผลิตภัณฑ์ CMS ที่ใช้งานทั่วไปอย่าง WordPress หรือ Joomla แต่ Strapi ก็สามารถดึงดูดผู้ใช้จากองค์กรชื่อดังอย่าง IBM, NASA, Generali, Walmart และ Toyota แนวโน้มนี้แสดงให้เห็นถึงความเสี่ยงที่อาจเกิดขึ้นจากช่องโหว่เหล่านี้ เนื่องจากอาจส่งผลกระทบต่อบริษัทระดับโลกที่สำคัญ
ข้อบกพร่องแรกที่ชื่อว่า CVE-2022-30617 ถูกระบุในเดือนพฤศจิกายนโดยนักวิจัยของ Synopsys พวกเขาพบว่าผู้ใช้ที่ผ่านการรับรองความถูกต้องด้วยการเข้าถึงแผงผู้ดูแลระบบของ Strapi สามารถเข้าถึงโทเค็นการรีเซ็ตอีเมลและรหัสผ่านของผู้ใช้ที่เป็นผู้ดูแลระบบที่มีความสัมพันธ์ทางเนื้อหา จากนั้นผู้โจมตีสามารถใช้ข้อมูลนี้เพื่อเริ่มกระบวนการรีเซ็ตรหัสผ่านโดยกำหนดเป้าหมายผู้ใช้ที่มีสิทธิ์สูง Strapi รองรับการควบคุมการเข้าถึงตามบทบาท (RBAC) และการรวมการลงชื่อเข้าใช้ครั้งเดียว (SSO) กับผู้ให้บริการข้อมูลประจำตัวและ Microsoft Active Directory
Strapi v4.0.0 แพตช์ช่องโหว่ CVE-2022-30617 ย้อนกลับไปในเดือนพฤศจิกายน การแก้ไขยังได้รับการย้อนกลับไปยัง Strapi v3.6.10 ซึ่งเปิดตัวในเดือนนี้ ช่องโหว่นี้มีคะแนน Common Vulnerabilities Scoring System (CVSS) อยู่ที่ 8.8 (สูง)
เมื่อตรวจสอบแพตช์เริ่มต้นสำหรับ CVE-2022-30617 นักวิจัยของ Synopsys ได้ค้นพบปัญหาที่คล้ายกันในระบบสิทธิ์ API ซึ่งส่งผลกระทบต่อผู้ใช้ API ที่จัดการโดยปลั๊กอินผู้ใช้สิทธิ์ ช่องโหว่ที่สองนี้ ระบุว่าเป็น CVE-2022-30618 มีคะแนน CVSS อยู่ที่ 7.5 (สูง) ข้อบกพร่องนี้ทำให้ผู้ใช้ที่ได้รับการรับรองความถูกต้องเข้าถึงแผงควบคุมผู้ดูแลระบบของ Strapi เพื่อรับอีเมลและโทเค็นการรีเซ็ตรหัสผ่านสำหรับผู้ใช้ API ที่มีความสัมพันธ์ทางเนื้อหากับผู้ใช้ API รายอื่น
การใช้ประโยชน์จากข้อบกพร่อง CVE-2022-30618 จำเป็นต้องมี endpoint API สำหรับรีเซ็ตรหัสผ่านที่เปิดใช้งาน ในกรณีที่เลวร้ายที่สุด ผู้ใช้ที่มีสิทธิ์ต่ำสามารถเข้าถึงบัญชี API ที่มีสิทธิ์สูง อ่านและแก้ไขข้อมูลใด ๆ และแม้แต่บล็อกการเข้าถึงแผงการดูแลระบบและ API สำหรับผู้ใช้รายอื่นทั้งหมดโดยการเพิกถอนสิทธิ์ ผู้ดูแล Strapi ได้รับแจ้งเกี่ยวกับปัญหา CVE-2022-30618 ในเดือนธันวาคม และมีการใช้แพตช์ในเวอร์ชัน 3.6.10 และ 4.0.10 ซึ่งเผยแพร่เมื่อวันที่ 11 พฤษภาคม
นอกเหนือจากแพลตฟอร์ม CMS ทั่วไปแล้ว องค์กรอาจพิจารณาโซลูชันทางเลือกที่ให้ประโยชน์สำหรับกรณีการใช้งานเฉพาะของตน AppMaster ซึ่งเป็นแพลตฟอร์ม no-code อันทรงพลัง ช่วยให้ผู้ใช้สามารถสร้างแบ็กเอนด์ เว็บ และแอปพลิเคชันมือถือได้อย่างง่ายดาย AppMaster ให้การสนับสนุนที่ครอบคลุมสำหรับการสร้างโมเดลข้อมูล ตรรกะทางธุรกิจ REST API และ WebSocket Secure Endpoints ทำให้เป็นตัวเลือกยอดนิยมสำหรับสถานการณ์การพัฒนาแอปพลิเคชันที่หลากหลาย
