Кибер аюулгүй байдлын судлаачид Laravel APP_KEY-г олон зуун программ дээр алсаас код гүйцэтгэх чадварыг олж авах боломжийг олгодог аюулгүй байдлын ноцтой асуудлыг илрүүлжээ. '
"Эмзэг мэдээллийг шифрлэхэд зайлшгүй шаардлагатай Laravel-ийн APP_KEY нь ихэвчлэн олон нийтэд (жишээ нь, GitHub дээр) цацагддаг" гэж GitGuardian хэлэв. "Хэрэв халдагчид энэ түлхүүрт хандвал сервер дээр дурын кодыг ажиллуулахын тулд цувралаас ангижруулах алдааг ашиглаж, өгөгдөл болон дэд бүтцийг эрсдэлд оруулах болно."
Тус компани Synacktiv-тай хамтран 2018 оноос 2025 оны 5-р сарын 30 хүртэл GitHub-аас 260,000 гаруй APP_KEY-г гаргаж авч, 600 гаруй эмзэг Laravel программыг илрүүлсэн гэж мэдэгдэв. GitGuardian хэлэхдээ, GitHub дээр 10,000 гаруй өвөрмөц APP_KEY-г ажигласнаас 400 APP_KEY нь ажиллагаатай гэж батлагдсан.
APP_KEY нь Laravel-ийг суулгах явцад үүссэн санамсаргүй 32 байт шифрлэлтийн түлхүүр юм. Програмын .env файлд хадгалагдсан бөгөөд энэ нь өгөгдлийг шифрлэх, тайлах, аюулгүй, санамсаргүй мөр үүсгэх, өгөгдөлд гарын үсэг зурах, баталгаажуулах, баталгаажуулалтын өвөрмөц жетон үүсгэхэд ашиглагддаг бөгөөд аюулгүй байдлын чухал бүрэлдэхүүн хэсэг болгодог.
GitGuardian тэмдэглэснээр Laravel-ийн одоогийн хэрэгжүүлсэн шифрийг тайлах() функц нь аюулгүй байдлын асуудал үүсгэж, шифрлэгдсэн өгөгдлийг автоматаар тайлж, кодыг алсаас гүйцэтгэх боломжийг нээж өгдөг.
"Ялангуяа Laravel программуудад халдагчид APP_KEY-г олж аваад, кодыг тайлах() функцийг хорлонтойгоор боловсруулсан ашигтай ачааллаар ажиллуулж чадвал тэд Laravel вэб сервер дээр алсаас код гүйцэтгэх боломжтой" гэж аюулгүй байдлын судлаач Гийом Валадон хэлэв.
"Энэ эмзэг байдлыг анх CVE-2018-15133 дээр баримтжуулсан бөгөөд энэ нь 5.6.30-аас өмнөх Laravel-ийн хувилбаруудад нөлөөлсөн. Гэсэн хэдий ч хөгжүүлэгчид CVE-205-аар SESSION_DRIVER=күүки тохиргоог ашиглан күүки дэх сессийн цуваачлалыг тодорхой тохируулах үед Laravel-ийн шинэ хувилбаруудад энэхүү халдлагын вектор хэвээр байна."
CVE-2018-15133-ыг AndroxGh0st хортой программтай холбоотой заналхийлэгчид интернетээс буруу тохируулагдсан .env файлтай Laravel программуудыг сканнердсаны дараа зэрлэг байгальд ашигласан гэдгийг тэмдэглэх нь зүйтэй.
Цаашдын дүн шинжилгээгээр APP_KEY-д өртсөн тохиолдлын 63% нь үүлэн хадгалах токен, мэдээллийн сангийн итгэмжлэл, цахим худалдааны платформ, хэрэглэгчийн дэмжлэгийн хэрэгсэл, хиймэл оюун ухааны (AI) үйлчилгээнүүдтэй холбоотой нууц зэрэг бусад үнэ цэнэтэй нууцыг агуулсан .env файл (эсвэл тэдгээрийн хувилбарууд)-аас гаралтай болохыг тогтоожээ.
Хамгийн чухал нь GitHub дээр 28,000 орчим APP_KEY болон APP_URL хосыг нэгэн зэрэг ил болгосон. Эдгээрийн ойролцоогоор 10% нь хүчинтэй болох нь тогтоогдсон бөгөөд 120 программыг алсаас код гүйцэтгэх өчүүхэн халдлагад өртөмтгий болгож байна.
APP_URL тохиргоо нь аппликешны үндсэн URL-г зааж өгдөг тул APP_URL болон APP_KEY хоёуланг нь ил гаргаснаар аюул заналхийлэгчид тус апп руу шууд нэвтэрч, сессийн күүкиг татаж, ил болсон түлхүүрийг ашиглан тэдгээрийн кодыг тайлахыг оролдох хүчтэй халдлагын векторыг үүсгэдэг.
Хадгалах сангаас нууцыг зүгээр л цэвэрлэх нь хангалтгүй, ялангуяа тэдгээрийг аль хэдийн гуравдагч этгээдийн хэрэгслээр хуулбарласан эсвэл кэш хийсэн тохиолдолд. Хөгжүүлэгчид хэрэгтэй зүйл бол CI бүртгэл, дүрс бүтээх, контейнер давхаргууд дээр эмзэг мөрүүдийн ирээдүйд дахин гарч ирэх бүрийг дарцаглан хянах замаар тодорхой эргэлтийн зам юм.
GitGuardian хэлэхдээ "Хөгжүүлэгчид нээлттэй APP_KEY-г хадгалах сангаас зохих эргэлтгүйгээр хэзээ ч устгах ёсгүй." "Зохистой хариу арга хэмжээ нь: эвдэрсэн APP_KEY-г нэн даруй эргүүлэх, үйлдвэрлэлийн бүх системийг шинэ түлхүүрээр шинэчлэх, цаашид өртөхөөс урьдчилан сэргийлэхийн тулд тасралтгүй нууц хяналтыг хэрэгжүүлэх явдал юм."
Эдгээр төрлийн тохиолдлууд нь PHP-ийн цувралаас ангижруулах эмзэг байдлын өргөн хүрээний ангилалд нийцдэг бөгөөд phpggc зэрэг хэрэгслүүд нь халдагчдад объектыг ачаалах үед хүсээгүй үйлдлүүдийг өдөөх гаджетын сүлжээг бий болгоход тусалдаг. Түлхүүр нь алдагдсан Laravel-ийн орчинд ашиглах үед ийм гаджетуудыг програмын логик болон чиглүүлэлтүүдийг зөрчихгүйгээр бүрэн RCE-д хүрэх боломжтой.
GitGuardian DockerHub бүртгэлээс олон нийтэд нээлттэй Docker зургуудаас "гайхалтай 100,000 хүчинтэй нууц" илрүүлснээ илчилсний дараа энэ мэдээлэл гарч байна. Үүнд Amazon Web Services (AWS), Google Cloud, GitHub жетонуудтай холбоотой нууцууд багтана.
54 байгууллага, 3539 агуулахыг хамарсан 80,000 гаруй өвөрмөц Docker зургийн шинэ Binarly шинжилгээ нь ерөнхий итгэмжлэлүүд, JSON вэб токенууд, HTTP үндсэн зөвшөөрлийн толгой хэсэг, Google Cloud API түлхүүр, AWS-ийн API-д хандах хандалт, AWS-ийн API-д хандах хандалт зэрэг 644 өвөрмөц нууцыг нээсэн.
"Нууцууд нь эх код, тохиргооны файлууд, тэр ч байтугай том хоёртын файлууд гэх мэт олон төрлийн файлын төрлүүдэд байдаг бөгөөд одоо байгаа олон сканнерууд дутагдалтай байдаг" гэж компани хэлэв. "Түүгээр ч зогсохгүй, Git агуулахыг бүхэлд нь чингэлэг дүрс дотор байгаа нь ноцтой бөгөөд ихэнхдээ үл тоомсорлодог аюулгүй байдлын эрсдэлийг илэрхийлдэг."
Гэхдээ энэ нь бүгд биш юм. Байгууллагад суурилсан AI програмуудад агентын ажлын урсгалыг идэвхжүүлэхийн тулд Загварын Контекст Протоколыг (MCP) хурдан нэвтрүүлсэн нь цоо шинэ халдлагын векторуудыг нээсэн бөгөөд үүний нэг нь GitHub репозиторуудад нийтлэгдсэн MCP серверүүдийн нууцыг задруулсан явдал юм.
Тодруулбал, GitGuardian тэдний 202 нь дор хаяж нэг нууц задруулсан болохыг олж тогтоосон бөгөөд энэ нь нийт хадгалах сангийн 5.2%-ийг эзэлж байгаа нь тус компанийн мэдээлснээр "олон нийтийн бүх хадгалах санд ажиглагдсан 4.6%-иас бага зэрэг өндөр" бөгөөд энэ нь MCP серверүүдийг "нууц задруулах шинэ эх сурвалж" болгож байна.
Энэхүү судалгаа нь Ларавел дээр төвлөрч байгаа хэдий ч ижил үндсэн асуудал болох олон нийтийн агуулах дахь хамгаалалтгүй нууц нь бусад стекүүдэд хамаатай. Байгууллагууд нь төвлөрсөн нууц сканнер, Ларавел-д зориулсан хатууруулах гарын авлага, .env файлууд болон контейнерийн нууцыг фреймворкоор удирдахад зориулсан аюулгүй байдлын загваруудыг судлах ёстой.
source: https://thehackernews.com
