首頁 > 安全研究 > 安全通報 > 安全通告

Linux Pling-Store RCE漏洞通告

發布時間 2021-06-24

0x00 漏洞概述

CVE     ID


時      間

2021-06-24

類      型

XSS、RCE

等      級

高危

遠程利用

影響范圍


攻擊復雜度


可用性

用戶交互


所需權限


PoC/EXP

已公開

在野利用

 

0x01 漏洞詳情

image.png

Pling-Store 是一款適用于 OCS 兼容網站(如 pling.com、gnome-look.org、appimagehub.com 等)的應用程序和實用程序商店,可以使用它下載、安裝和應用桌面主題、圖標主題、壁紙等。Pling-Store使用 Appimage 包格式,應適用于如 Ubuntu、Debian、Arch、Suse、Redhat 等發行版。

2021年06月22日,國外安全研究員公開披露了 Pling平臺(包括 AppImage Hub、Gnome-Look、KDE Discover App Store、Pling.com 和 XFCE-Look)中發現的XSS和RCE漏洞,前者容易受到XSS蠕蟲攻擊,并可能導致供應鏈攻擊;后者可能導致偷渡式下載攻擊。

 

KDE Discover XSS

研究人員首先在KDE Discover 中發現了此存儲型XSS漏洞,通過在web應用程序中插入惡意腳本,當訪問惡意列表時觸發 XSS。這種存儲型XSS可用于修改活動列表,或在其他用戶的背景下在Pling-store發布新的列表,從而導致XSS蠕蟲攻擊。除了典型的XSS影響外,攻擊者可以通過上傳后門或更改Payload進行供應鏈攻擊。

image.png

image.png

 

Pling-Store RCE

所有基于Pling開發的應用程序商店都宣傳使用原生的Pling-Store應用程序, 這是一個可以顯示不同網站并可以一鍵安裝應用程序的 Electron 應用程序。

該Electron應用程序也可以觸發XSS,并且當與Electron沙盒繞過結合使用時能夠導致RCE。

因為在設計時,該應用程序可以安裝其他應用程序,它有另一個內置的機制,可以在系統上執行代碼。而當Pling-Store應用程序在后臺打開時,該機制可以被任何網站利用來運行任意的本地代碼。當XSS在應用程序內部被觸發時,Payload可以建立與本地WebSocket服務器的連接,并發送消息以執行任意本地代碼(通過下載和執行AppImage文件)。

研究人員發布了PoC,表明可以通過在任何瀏覽器中訪問惡意網站來進行攻擊。

 

0x02 處置建議

由于無法聯系到Pling開發團隊,目前此漏洞暫未修復。建議使用以下臨時緩解措施:

在RCE漏洞修復之前,不要運行Pring-Store Electron應用程序(最好刪除AppImage)。

注意,appimagehub.com、store.kde.org、gnome-look.org、xfce-look.org和pling.com上的賬戶都可能被XSS劫持,任何可下載的資產都可能被破壞。最好注銷賬戶,在漏洞被修復之前不要使用這些網站。

 

0x03 參考鏈接

https://positive.security/blog/hacking-linux-marketplaces

https://threatpost.com/unpatched-linux-marketplace-bugs-rce/167155/

https://breaking.systems/plingstore_rce_poc.html

 

0x04 時間線

2021-06-24  VSRC發布安全通告

0x05 附錄

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

 

上一篇 下一篇