Schwachstelle im NPM-Paket node-ip erlaubt möglicherweise SSRF-Angriffe

Eine Sicherheitslücke im NPM-Paket node-ip für Node.js wurde entdeckt, die es ermöglicht, dass einige private IP-Adressen fälschlicherweise als öffentlich kategorisiert werden. Diese Schwachstelle, die unter CVE-2023-42282 gemeldet und nicht vollständig behoben wurde, bleibt in den Versionen bis einschließlich 2.0.1 bestehen. Die unvollständige Behebung dieser Schwachstelle führte zur neuen Kennung CVE-2024-29415.

Das Node-ip-Paket, das häufig in Node.js-Anwendungen zur Verarbeitung und Validierung von IP-Adressen verwendet wird, enthält eine Funktion namens isPublic(). Diese Funktion soll feststellen, ob eine IP-Adresse global routbar ist. Aufgrund der unvollständigen Behebung von CVE-2023-42282 identifiziert die Funktion jedoch weiterhin einige private IP-Adressen als öffentlich. Dies kann zu Server-Side Request Forgery (SSRF)-Angriffen führen, wenn diese Funktion verwendet wird, um ausgehende Netzwerkanforderungen zu überprüfen.

Folgende IP-Adressen werden fälschlicherweise als öffentlich erkannt:

  • 127.1
  • 01200034567
  • 012.1.2.3
  • 000:0:0000::01
  • ::fFFf:127.0.0.1

Die Schwachstelle betrifft folgende Installationen des node-ip-Pakets:

  • Buster: 1.1.5-3
  • Bullseye: 1.1.5-5
  • Bookworm: 2.0.0+~1.1.0-1
  • Sid, Trixie: 2.0.1+~1.1.3-1

Ein erfolgreicher SSRF-Angriff kann es einem Angreifer ermöglichen, unerwünschte Aktionen durchzuführen, indem er interne Systeme über manipulierte Netzwerkanforderungen ansteuert. Dies könnte beispielsweise dazu führen, dass ein Angreifer Zugriff auf interne Dienste erhält oder sensible Daten extrahiert.

Da das node-ip-Paket derzeit nicht aktiv gewartet wird und der Autor nicht auf Anfragen reagiert, wird dringend empfohlen, alternative Pakete mit ähnlichen Funktionen zu verwenden. Selbst wenn Ihre derzeitige Nutzung des node-ip-Pakets nicht direkt betroffen ist, bieten Alternativen eine bessere Unterstützung und verringern das Risiko zukünftiger Sicherheitslücken.

Falls Sie das node-ip-Paket weiterhin verwenden müssen, überprüfen Sie sorgfältig die Nutzung der Funktionen isPublic(), isPrivate() und isLoopback(), insbesondere wenn diese zur Überprüfung sensibler Netzwerkanforderungen eingesetzt werden. Befolgen Sie außerdem die Richtlinien zur Verhinderung von SSRF-Angriffen, wie sie im OWASP Cheat Sheet beschrieben sind.

Obwohl ein Patch vorgeschlagen wurde (siehe Pull Request #144 auf GitHub), wurde dieser bisher nicht implementiert. Nutzer sollten die GitHub-Seite des Projekts im Auge behalten, um über mögliche zukünftige Updates informiert zu bleiben.

Related Posts

Datenleck beim Roten Kreuz Berlin: Passwörter und private Nachrichten veröffentlicht

Am 23. Februar 2024 entdeckte das Cybernews-Team ein Datenleck auf einer internen Website des DRK Berlin-Nordost. Eine Fehlkonfiguration ermöglichte den öffentlichen Zugriff auf sensible Daten, darunter Mitarbeiter-E-Mails, Klartext-Passwörter und interne Nachrichten. Einige dieser Kommunikationen enthielten kritische Informationen über Zugangsbefugnisse und Schlüsselstandorte.

Read More

Sicherheitslücken in Ivanti Neurons for ITSM entdeckt

Zwei schwerwiegende Sicherheitslücken wurden im Web-Komponenten von Ivanti Neurons for ITSM entdeckt, die es authentifizierten Benutzern ermöglichen, erhebliche Schäden zu verursachen. Die Schwachstellen wurden als CVE-2024-22059 und CVE-2024-22060 klassifiziert.

Read More

Kritische Sicherheitslücke in SSO System CasGate

Eine schwerwiegende Sicherheitslücke wurde im Open Source Identity Manager GasGate entdeckt, die es einem entfernten, nicht authentifizierten Angreifer ermöglicht, über GET-Anfragen auf API-Endpunkte sensible Informationen zu erhalten. Die Schwachstelle betrifft alle aktuellen Versionen von casgate und wurde als CVE-2024-36108 klassifiziert. Die Schwachstelle hat eine CVSS-Basisbewertung von 9.8 (kritisch) und wird als äußerst schwerwiegend eingestuft. Sie ist durch den Netzwerkangriffsvektor, die niedrige Komplexität und das Fehlen von erforderlichen Privilegien gekennzeichnet.

Read More