Lỗ hổng nghiêm trọng trong mã của Zapier Exposed: Zenity Uncovers #ZAPESCAPE

Zenity, công ty tiên phong trong lĩnh vực quản trị bảo mật dành cho phát triển no-code và low-code, đã công bố một lỗ hổng thoát hộp cát nghiêm trọng mà họ đã phát hiện ra trong Code by Zapier. Lỗ hổng, được đặt tên là #ZAPESCAPE , có thể trao cho kẻ tấn công toàn quyền kiểm soát môi trường thực thi của tổ chức, có khả năng cấp cho chúng quyền truy cập để thao túng kết quả và đánh cắp thông tin nhạy cảm.

Nhóm nghiên cứu bảo mật tại Zenity đã tìm thấy lỗ hổng vào giữa tháng 3 năm 2022 trong Code by Zapier, một dịch vụ được Zapier sử dụng để thực thi mã tùy chỉnh như một phần của Zap. Việc khai thác #ZAPESCAPE có thể cho phép người dùng giành quyền kiểm soát môi trường thực thi mã tùy chỉnh của quản trị viên. Hơn nữa, việc khai thác có thể được thực hiện thông qua thư mục riêng của người dùng, quản trị viên không thể truy cập được và không bị phát hiện.

Michael Bargury, Đồng sáng lập và CTO của Zenity , cho biết: "Lỗ hổng được nhóm của chúng tôi phát hiện cho phép bất kỳ người dùng Zapier nào có toàn quyền kiểm soát toàn bộ môi trường của tổ chức họ. Người dùng có thể đọc và thậm chí thao túng các thao tác hạ gục của quản trị viên và quản trị viên sẽ không có cách nào để biết về nó."

Nhóm bảo mật của Zapier đã sẵn sàng và nhanh chóng giải quyết vấn đề, hiện vấn đề này đã được khắc phục hoàn toàn. Tiết lộ này đã được phối hợp với nhóm Zapier và Zenity xác nhận rằng lỗ hổng bảo mật đã được giảm thiểu hoàn toàn. Tuy nhiên, tài khoản của người dùng Code by Zapier trước ngày 17 tháng 8 năm 2022 có thể đã bị khai thác.

Bargury cho biết thêm rằng mặc dù Zapier là một nền tảng an toàn, nhưng không có nền tảng nào miễn nhiễm với các lỗ hổng. Khi tạo Zap, người dùng phải chịu trách nhiệm bảo mật những gì họ xây dựng trên nền tảng, vì quá trình phát triển no-code vẫn đang phát triển và yêu cầu tuân thủ mô hình trách nhiệm chung.

Là nền tảng quản trị bảo mật đầu tiên và duy nhất dành cho các ứng dụng, tích hợp và tự động hóa không mã/ low-code, Zenity cung cấp một dịch vụ thiết yếu. Với sự gia tăng của các nền tảng không có mã/ low-code như AppMaster, cả nhà phát triển chuyên nghiệp và công dân đều có thể tạo ra các giải pháp phần mềm tùy chỉnh mà không cần kiến thức sâu rộng về mã hóa. Tuy nhiên, sự tiện lợi này đi kèm với những rủi ro bảo mật tiềm ẩn nếu không được quản lý và quản lý đầy đủ.

Zenity cho phép các chuyên gia CNTT và bảo mật có khả năng hiển thị và kiểm soát toàn diện đối với các sản phẩm không có mã/ low-code của họ. Điều này cho phép họ loại bỏ các lỗ hổng tiềm ẩn và áp dụng cách tiếp cận an toàn hơn để phát triển. Nền tảng này cung cấp các tính năng như khoảng không quảng cáo trên nhiều nền tảng, đánh giá rủi ro liên tục, hành động khắc phục tự động và sổ tay quản trị để thực thi các chính sách bảo mật trong toàn bộ vòng đời không có mã/ low-code.

Được thành lập bởi các cựu lãnh đạo và chuyên gia an ninh mạng Microsoft, Ben Kliger và Michael Bargury, Zenity là công ty hàng đầu về quản trị bảo mật cho phân cấp CNTT. Công ty làm việc với các doanh nghiệp lớn, bao gồm các tập đoàn trong danh sách Fortune 500 và dẫn đầu nhóm 10 Rủi ro bảo mật mã thấp/ No-Code hàng đầu của OWASP.